Îmbunătățirea sistemului de securitate a informațiilor la întreprindere. Sistemul de securitate din Federația Rusă și modalități de îmbunătățire a acestuia Îmbunătățirea securității informațiilor

PROBLEME JURIDICE ALE UTILIZĂRII TEHNOLOGIILOR DE CALCULATOR ȘI ÎMBUNĂTĂȚIREA LEGISLAȚIEI

ÎMBUNĂTĂȚAREA MECANISMULUI INSTITUȚIONAL PENTRU ASIGURAREA SECURITĂȚII INFORMAȚIILOR A FEDERATIEI RUSE

ÎMBUNĂTĂȚAREA MECANISMULUI INSTITUȚIONAL DE ASIGURARE A SECURITATII INFORMAȚIILOR A FEDERATIEI RUSE

© Iulia Alexandrovna Koblova

Yuliya A. Koblova

Candidat la științe economice, conferențiar al Departamentului de Economie Instituțională și Securitate Economică, Institutul Socio-Economic Saratov (filiala) G.V. Plehanov"

Cand. Sc. (Economie), profesor asociat la departamentul de economie instituțională, institutul socio-economic Saratov (filiala) a Universității Ruse de Economie Plehanov

e-mail: [email protected]

Articolul examinează aspectele instituționale ale furnizării securitatea informatiei state. Se relevă esența și rolul mecanismului instituțional în asigurarea securității informaționale a statului. Se face o evaluare a furnizării instituționale de securitate a informațiilor în Rusia. Sunt identificate probleme și se propune un sistem de măsuri pentru îmbunătățirea mecanismului instituțional de asigurare a securității informaționale a țării.

Cuvinte cheie Cuvinte cheie: instituții, mecanism instituțional, securitate informațională, spațiu internet.

Lucrarea examinează aspectele instituționale ale asigurării securității informaționale a statului. Autorul dezvăluie esența și rolul mecanismului instituțional în asigurarea securității informațiilor de stat, evaluează mecanismul instituțional de asigurare a securității informațiilor în Rusia, evidențiază provocările majore și sugerează un sistem de măsuri pentru îmbunătățirea mecanismului instituțional de asigurare a securității informației.

Cuvinte cheie: instituții, mecanisme instituționale, securitate informațională, spațiu internet.

Asigurarea securității informaționale a statului este o funcție de stat destul de nouă, cu volumul și conținutul metodelor și instrumentelor care nu au fost încă stabilite.

poliţişti. Formarea sa se datorează nevoii de a proteja societatea și statul de amenințările informaționale asociate cu dezvoltarea celor mai noi tehnologii ale informației și comunicațiilor.

tehnologie. Amploarea consecințelor negative ale acestor amenințări pentru state, organizații, oameni este deja recunoscută de comunitatea mondială, de aceea cea mai importantă sarcină a statului este dezvoltarea unui sistem de măsuri pentru prevenirea și neutralizarea acestora. Un rol important în realizarea securității informaționale a statului îl joacă mecanismul instituțional de asigurare a acestuia. Eficacitatea sistemului instituţional care implementează de interes public, este cheia armonizării acestora pentru a asigura cele mai înalte interese ale statului, inclusiv securitatea națională și a informațiilor.

Reamintim că instituțiile sunt regulile de interacțiune („regulile jocului”) în societate generate de conștiința și experiența umană, limitările și premisele dezvoltării în politică, în sfera socială și în economie. Instituțiile care susțin creșterea economică pe termen lung sunt legi și reguli care formează stimulente și mecanisme. Instituțiile stabilesc un sistem de stimulente pozitive și negative, reduc incertitudinea și fac mediul social mai previzibil. Sunt cunoscute instituțiile care garantează securitatea informației: statul de drept, o instanță independentă și competentă, absența corupției etc.

Mecanismul instituțional de asigurare a securității informațiilor este o componentă structurală specială a mecanismului economic care asigură crearea de norme și reguli care guvernează interacțiunea diferitelor entități economice în sfera informațională pentru a preveni amenințările la adresa securității informațiilor. Mecanismul instituțional pune în mișcare instituțiile (formale și informale), structurează interacțiunile subiecților, exercită controlul asupra respectării normelor și regulilor stabilite.

Esența mecanismului instituțional se manifestă prin funcțiile sale. O.V. Inshakov și N.N. Lebedev consideră că mecanismul instituțional îndeplinește următoarele funcții, care sunt aplicabile și mecanismului de securitate a informațiilor:

1) integrarea agenților într-o singură instituție pentru a desfășura activități comune în cadrul unor statuturi și norme comune;

2) diferențierea normelor și statusurilor, precum și a subiecților și agenților diferitelor instituții în cerințe care le separă și le ignoră; reglarea interacțiunii dintre

ta și agenții săi în conformitate cu cerințele stabilite;

3) implementarea transpunerii noilor cerințe în practică;

4) asigurarea reproducerii inovațiilor de rutină;

5) subordonarea și coordonarea relațiilor dintre entități care aparțin unor instituții diferite;

6) informarea subiecților despre noile norme și despre comportamentul oportunist;

7) reglementarea activităților entităților care împărtășesc și resping cerințele definite de institut;

8) controlul asupra implementării normelor, regulilor și acordurilor.

Astfel, mecanismul instituțional de asigurare a securității informațiilor include cadrul legislativ și structurile instituționale care îl asigură. Perfecţiune acest mecanism include reorganizarea cadrului legislativ pentru securitatea informațiilor și a structurilor instituționale pentru combaterea amenințărilor la securitatea informațiilor.

Mecanismul instituțional de asigurare a securității informațiilor include: adoptarea de noi legi care să țină cont de interesele tuturor subiecților sferei informaționale; respectarea echilibrului funcțiilor creative și restrictive ale legilor în sfera informațională; integrarea Rusiei în spațiul juridic global; ţinând cont de starea sferei tehnologiilor informaţionale autohtone.

Până în prezent, Rusia a format un cadru legislativ în domeniul securității informațiilor, incluzând:

1. Legile Federației Ruse: Constituția Federației Ruse, „Cu privire la securitate”; „Despre organe Serviciul Federal Securitatea în Federația Rusă”, „Despre secretele de stat”, „Despre informații străine”, „Cu privire la participarea la schimbul internațional de informații”, „Despre informații, tehnologia de informațieși protecția informațiilor”, „On semnatura digitala" si etc.

2. Acte juridice de reglementare ale Președintelui Federației Ruse: Doctrina securității informațiilor a Federației Ruse; Strategia de securitate națională a Federației Ruse până în 2020, „Cu privire la fundamentele politicii de stat în sfera informatizării”, „Pe lista informațiilor clasificate ca secrete de stat”, etc.

3. Acte juridice normative ale Guvernului Federației Ruse: „Cu privire la certificare

mijloace de protecție a informațiilor”, „Cu privire la autorizarea activităților întreprinderilor, instituțiilor și organizațiilor pentru desfășurarea de lucrări legate de utilizarea informațiilor care constituie secret de stat, crearea de mijloace de protecție a informațiilor, precum și implementarea măsurilor și (sau ) prestarea de servicii pentru protecția secretelor de stat”, „Cu privire la licențierea anumitor tipuri de activități”, etc.

4. Codul civil al Federației Ruse (partea a patra).

5. Codul penal al Federației Ruse.

In spate anul trecut implementat în Rusia

un set de măsuri pentru a-și îmbunătăți securitatea informațiilor. Au fost implementate măsuri pentru asigurarea securității informațiilor în organismele guvernamentale federale, organismele guvernamentale ale entităților constitutive ale Federației Ruse, la întreprinderi, instituții și organizații, indiferent de forma de proprietate. Se lucrează la protejarea sistemelor speciale de informații și telecomunicații. Sistemul de stat de protecție a informațiilor, sistemul de protecție a secretelor de stat și sistemele de certificare a instrumentelor de securitate a informațiilor contribuie la soluționarea eficientă a problemelor de securitate a informațiilor în Federația Rusă.

Comisia tehnică de stat din subordinea președintelui Federației Ruse urmărește o politică tehnică unificată și coordonează activitatea în domeniul securității informațiilor, este în frunte sistem de stat protecția informațiilor din informațiile tehnice și asigură protecția informațiilor împotriva scurgerilor prin canale tehnice pe teritoriul Rusiei, monitorizează eficacitatea măsurilor de protecție luate.

Un rol important în sistemul de securitate a informațiilor din țară îl au organizațiile de stat și publice: acestea exercită control asupra mass-media de stat și nestatale.

În același timp, nivelul de securitate a informațiilor din Rusia nu satisface pe deplin nevoile societății și ale statului. În condițiile societății informaționale, contradicțiile dintre nevoia publică de extindere și libertatea schimbului de informații, pe de o parte, și nevoia de a menține anumite restricții reglementate privind difuzarea acestuia, sunt exacerbate.

În prezent, nu există sprijin instituțional pentru drepturile cetățenilor consacrate în Constituția Federației Ruse în sfera informațională (la confidențialitate, secretul personal, secretul corespondenței etc.). Odihnă-

dorințe protectie mai buna datele personale colectate de autoritățile federale.

Nu există claritate în implementarea politicii de stat în sfera formării spațiului informațional al Federației Ruse, mass-media, schimbul internațional de informații și integrarea Rusiei în spațiul informațional mondial.

Îmbunătățirea mecanismului instituțional de securitate informațională a statului, în opinia noastră, ar trebui să vizeze rezolvarea următoarelor probleme importante.

Orientarea practică slabă a legislației ruse moderne în sfera informațională creează probleme de natură juridică și metodologică. Sunt exprimate opinii că Doctrina Securității Informaționale a Federației Ruse nu are valoare aplicată, conține multe inexactități și erori metodologice. Astfel, obiectele securității informaționale din Doctrină sunt recunoscute ca interese, individul, societatea, statul - concepte care nu sunt comparabile între ele. Mulți oameni de știință au acordat atenție inadmisibilității acceptării protecției intereselor ca obiect al securității informațiilor, și nu purtătorilor acestora.

Utilizarea acestor categorii, al căror conținut este vag, nu este cu totul inadecvată într-un document legislativ. De exemplu, subiectele de drept sunt juridice și indivizii, organizații, apatrizi, autorități executive. Categoria „stat” include teritoriul țării, populația (națiunile), puterea politică, sistemul constituțional.

Doctrina Securității Informaționale a Federației Ruse recunoaște drept surse de amenințări la adresa securității informațiilor:

Activitati ale structurilor straine;

Dezvoltarea conceptelor de războaie informaționale de către un număr de state;

Dorința unui număr de țări de a domina etc.

Potrivit lui G. Atamanov, sursa poate fi un obiect sau subiect care ia parte la procesul informațional sau este capabil să-l influențeze într-o măsură sau alta. De exemplu, în legislația SUA, sursele de amenințări ale infrastructurii informaționale includ: hackeri care se opun SUA; grupuri teroriste; state împotriva cărora poate fi îndreptată o operațiune antiteroristă;

hackeri, curioși sau auto-aserți.

Neajunsurile și caracterul cadru al Doctrinei reduc eficiența și limitează sfera de aplicare a acesteia, stabilesc direcția greșită pentru dezvoltarea legislației în sfera informațională și o confundă tot mai mult.

Pentru asigurarea corectă a securității informației este necesară crearea unui sistem adecvat de raporturi juridice, care, la rândul său, este imposibil fără revizuirea aparatului categorial, fundamentul doctrinar și conceptual al legislației în sfera informațională.

2. Diferența dintre legislație și practică în sfera informației.

Un decalaj uriaș între legislație și practică în sfera informațională există în mod obiectiv datorită rapidității și amplorii dezvoltării tehnologiilor informaționale și a internetului, care dau naștere instantaneu la noi amenințări. Procesul legislativ, dimpotrivă, este lung și spinos. Prin urmare, în conditii moderne sunt necesare mecanisme de armonizare a dezvoltării legilor cu realitățile dezvoltării tehnologiilor informaționale și a societății informaționale. Este important ca acumularea să nu fie prea mare, deoarece aceasta este plină de scăderea sau pierderea securității informațiilor.

Reducerea decalajului dintre practică și legislație în sfera informațională este necesară pentru a reduce și neutraliza amenințările la adresa securității informațiilor care decurg din depășirea dezvoltării tehnologiilor informaționale și apariția unui vid în legislație.

3. Lipsa instituţiilor supranaţionale care să garanteze securitatea informaţiei.

Este imposibil să contracarăm crimele comise pe internet de forțele unei țări. Măsuri prohibitive impuse nivel național, nu va fi efectivă, întrucât făptuitorii se pot afla în străinătate. Pentru combaterea acestora este necesară consolidarea eforturilor la nivel internațional și adoptarea unor reguli internaționale de conduită în spațiul internetului. Au fost făcute încercări similare. Astfel, Convenția de la Budapesta a Consiliului Europei a permis urmărirea penală a contravenienților pe teritoriul altui stat fără a-și avertiza autoritățile. De aceea, multe țări au considerat inacceptabil să ratifice acest document.

Legea model „Cu privire la bazele reglementării internetului”, aprobată în plen

ședința Adunării Interparlamentare a Statelor Membre ale CSI, stabilește procedura de sprijinire de stat și reglementare a internetului, precum și regulile de stabilire a locului și timpului acțiunilor semnificative din punct de vedere juridic pe rețea. În plus, legea reglementează activitățile și responsabilitățile operatorilor de servicii.

Este necesar să se constate ratificarea documentului care permite schimbul de informații confidențiale pe teritoriul Rusiei, Belarusului și Kazahstanului. Acesta este un protocol care determină procedura de furnizare a informațiilor care conțin informații confidențiale, pentru investigațiile anterioare introducerii unor măsuri speciale de protecție, antidumping și compensatorii în legătură cu țările terțe. Acesta este un acord foarte important între statele membre ale Uniunii Vamale, care face posibilă dezvoltarea și construirea în comun a măsurilor de protecție antidumping și compensatorii. Astfel, astăzi s-a organizat un cadru de reglementare solid, care creează un organism supranațional fundamental nou, autorizat nu doar să efectueze investigații, să colecteze probe, dar și să le protejeze de scurgeri, determinând procedura de furnizare a acestora.

Formarea unor instituții supranaționale în sfera informațională va face posibilă depășirea limitărilor legislației naționale în lupta împotriva infracțiunilor informaționale.

4. Lipsa instituțiilor spațiului Internet.

În prezent, astfel de noi instituții ar trebui să apară în dreptul internațional care să reglementeze interacțiunea subiecților în spațiul internetului, precum „frontiera electronică”, „suveranitatea electronică”, „impozitarea electronică” și altele. Acest lucru va ajuta la depășirea naturii latente a criminalității cibernetice, de exemplu. creșterea nivelului de detectare a infracțiunilor cibernetice.

5. Dezvoltarea parteneriatului public-privat în sfera informaţiei.

O dilemă interesantă apare în legătură cu dorința organizațiilor guvernamentale de a publica rapoarte despre starea sistemului lor de securitate a informațiilor. Pe de o parte, aceste publicații reflectă eforturile statului de a menține sistemul de securitate cibernetică la nivelul corespunzător. S-ar părea că un astfel de rezultat ar trebui să conducă la o structură mai eficientă a cheltuielilor pentru securitatea cibernetică. Dar, pe de altă parte, publicarea de informații despre deficiențele sistemului de securitate cibernetică

Jurnal științific și practic. ISSN 1995-5731

Securitate organizatii guvernamentale mai probabil să-i facă vulnerabili la atacurile hackerilor, ceea ce implică nevoia de mai multe resurse pentru a le respinge și a le preveni.

Cea mai mare problemă în asigurarea cooperării și a schimbului de informații legate de securitate între agențiile guvernamentale și corporațiile Gordon și Loeb consideră problema „free-riding” (//tee-^et). S-ar părea că de la securitate retele de calculatoare depinde de acțiunile fiecărui participant, o astfel de cooperare este cea mai bună modalitate de a crește eficacitatea fondurilor cheltuite pentru securitatea cibernetică. Un schimb de succes de informații și experiență în domeniul securității cibernetice ar putea face posibilă coordonarea unor astfel de activități la nivel național și internațional. Dar, în realitate, teama firmei de a pierde avantaje competitive prin participarea la o astfel de cooperare în rețea și furnizarea de informații complete despre ea însăși duce la

din furnizarea informatii complete. Numai dezvoltarea parteneriatelor public-privat bazate pe introducerea unor stimulente economice suficient de semnificative poate schimba situația de aici.

Astfel, mecanismul instituțional de asigurare a securității informaționale a statului presupune formarea fundațiilor legislative și a structurilor instituționale care o asigură. Îmbunătățirea mecanismului instituțional și formarea unei noi arhitecturi de securitate economică în condițiile economie informaţională s-a propus un sistem de măsuri, printre care: depășirea caracterului declarativ al legislației și reducerea decalajului dintre legislație și practică în sfera informațională, formarea unei legislații supranaționale în sfera informațională, crearea de noi instituții care să determine cadrul de interacțiune. și reguli de conduită în spațiul Internet.

Lista bibliografică (Referințe)

1. Inshakov O.V., Lebedeva N.N. Mecanisme economice și instituționale: corelarea și interacțiunea în condițiile transformării sociale și de piață a economiei ruse // Buletinul Sankt Petersburg. stat unta. Ser. 5. 2008. Emisiune. 4 (Nr. 16).

2. Dzliev M.I., Romanovici A.L., Ursul A.D. Probleme de siguranță: aspecte teoretice și metodologice. M., 2001.

3. Atamanov G. A. Securitatea informaţiei în modern societatea rusă(aspect socio-filozofic): dis. ... cand. filozofie Științe. Volgograd, 2006.

4. Kononov A. A., Smolyan G. L. Societatea informațională: Societatea cu risc total sau societatea de securitate garantată? // Societatea informaţională. 2002. Nr. 1.

1. Inshakov O.V., Lebedeva N.N. (2008) Khozyaystvennyy i institutsional "nyy mekhaniz-my: sootnosheniye i vzaimodeystviye v usloviyakh sotsial" no-rynochnoy transformatsii rossiyskoy ekonomiki // Vestnik S.-Peterb. du-te. unta. Ser. 5. Vyp. 4 (Nr. 16).

2. Dzliyev M.I., Romanovici A.L., Ursul A.D. (2001) Probleme de siguranță: teoretiko-metodologicheskiye aspekty. M.

3. Atamanov G.A. (2006) Informatsionnaya bezopasnost" v sovremennom rossiyskom ob-shchestve (sotsial" no-filosofskiy aspekt) . Volgograd.

4. Kononov A.A., Smolyan G.L. (2002) In-formatsionnoye obshchestvo: obshchestvo total "nogo riska sau obshchestvo garantirovannoy bezopasnosti? // Informat-sionnoye obshchestvo. Nr. 1.

2. Sistem antivirus ESET NOD 32 pentru a proteja împotriva virușilor informatici.

Bazele de date sunt actualizate în mod regulat și stațiile de lucru sunt scanate.

3. Backup Windows încorporat pentru a crea arhive.

OS Backup Wizard este un program conceput pentru creație rapidăși restaurați backupul copii ale Windows. Vă permite să creați o copie a întregului Windows sau doar fișiere și foldere individuale.

4. Criptare cu cheie de 2048 biți pentru canal vpn(conectare la biroul companiei de management pentru corespondență și flux de lucru).

Capitolul 2. Îmbunătățirea NIS

2.1 Puncte slabe în sistemul de securitate a informațiilor

Atunci când se analizează problemele legate de securitatea informației, este necesar să se țină cont de specificul acestui aspect al securității, care constă în faptul că securitatea informației este parte integrantă a tehnologiei informației – domeniu care se dezvoltă într-un ritm fără precedent. Nu este atât de important aici solutii separate(legi, cursuri de pregatire, produse software și hardware), care sunt la nivel modern, câte mecanisme de generare de noi soluții care să vă permită să trăiți în ritmul progresului tehnic.

Tehnologii moderne programarea nu vă permite să creați programe fără erori, ceea ce nu contribuie la dezvoltarea rapidă a instrumentelor de securitate a informațiilor.

După analiza securității informaționale a întreprinderii, putem concluziona că se acordă o atenție insuficientă securității informațiilor:

Lipsa parolelor de acces la sistem;

Absența parolelor la lucrul cu programul cu 1C: Enterprise, la schimbarea datelor;

Nu există protecție suplimentară a fișierelor și informațiilor (nu există o solicitare elementară de parolă la deschiderea sau modificarea informațiilor din fișiere, ca să nu mai vorbim de instrumentele de criptare a datelor);

Actualizarea neregulată a bazelor de date cu programe antivirus și scanarea stațiilor de lucru;

Un număr mare de documente pe hârtie se află în principal în foldere (uneori fără ele) pe desktop-ul angajatului, ceea ce permite atacatorilor să folosească cu ușurință acest tip de informații în propriile scopuri;

Nu există discuții regulate despre problemele de securitate a informațiilor la nivelul întreprinderii și problemele emergente în acest domeniu;

Fără verificări regulate de performanță sisteme de informareîntreprinderi, depanarea se efectuează numai atunci când eșuează;

Lipsa politicii de securitate a informațiilor;

Lipsa unui administrator de sistem.

Toate cele de mai sus sunt deficiențe foarte importante în asigurarea securității informațiilor unei întreprinderi.

2.2 Scopul și obiectivele sistemului de securitate a informațiilor

Securitatea informației - starea securității resurse informaționaleîn rețelele de calculatoare și sistemele întreprinderii de la acces neautorizat, interferențe accidentale sau deliberate cu funcționarea normală a sistemelor, încearcă să distrugă componentele acestuia.

Obiectivele securității informațiilor:

prevenirea amenințărilor la adresa securității întreprinderii din cauza acțiunilor neautorizate de distrugere, modificare, distorsionare, copiere, blocare a informațiilor sau a altor forme de interferență ilegală în resursele informaționale și sistemele informaționale;

păstrarea secretelor comerciale prelucrate prin mijloace informatică;

protecția drepturilor constituționale ale cetățenilor de a păstra secretul personal și confidențialitatea datelor cu caracter personal disponibile în sistemele informaționale.

Pentru a atinge obiectivele de protecție, ar trebui să se asigure o soluție eficientă a următoarelor sarcini:

Protecția împotriva interferenței în procesul de funcționare a întreprinderii de către persoane neautorizate;

protecția împotriva acțiunilor neautorizate cu resursele informaționale ale întreprinderii de către persoane neautorizate și angajați care nu au autoritatea corespunzătoare;

Asigurarea completității, fiabilității și eficienței suportului informațional pentru adoptare decizii de management managementul întreprinderii;

Asigurarea securităţii fizice a mijloacelor tehnice şi softwareîntreprinderile și protecția acestora împotriva acțiunii surselor naturale și artificiale de amenințări;

înregistrarea evenimentelor care afectează securitatea informațiilor, asigurând controlul deplin și răspunderea asupra implementării tuturor operațiunilor efectuate în întreprindere;

identificarea, evaluarea și prognozarea în timp util a surselor de amenințări la adresa securității informațiilor, a cauzelor și condițiilor care contribuie la prejudicierea intereselor subiecților, la perturbarea funcționării normale și a dezvoltării întreprinderii;

analiza riscurilor implementării amenințărilor la adresa securității informațiilor și evaluarea posibilelor daune, prevenirea consecințelor inacceptabile ale unei încălcări a securității informațiilor întreprinderii, crearea condițiilor pentru minimizarea și localizarea daunelor cauzate;

Asigurarea posibilității de restabilire a stării curente a întreprinderii în cazul încălcării securității informațiilor și eliminarea consecințelor acestor încălcări;

· Crearea și formarea unei politici de securitate informațională a întreprinderii.

2.3 Măsuri și mijloace de îmbunătățire a sistemului de securitate a informațiilor

Pentru atingerea scopurilor stabilite și rezolvarea problemelor este necesară desfășurarea unor activități la nivelurile de securitate a informațiilor.

Nivel administrativ de securitate a informațiilor.

Pentru a forma un sistem de securitate a informațiilor, este necesară elaborarea și aprobarea unei politici de securitate a informațiilor.

O politică de securitate este un set de legi, reguli și norme de comportament menite să protejeze informațiile și resursele asociate acesteia.

Trebuie remarcat faptul că politica în curs de dezvoltare ar trebui să fie în concordanță cu legile și reglementările existente referitoare la organizație, de ex. aceste legi și reglementări trebuie identificate și luate în considerare în elaborarea politicilor.

Cu cât sistemul este mai fiabil, cu atât politica de securitate ar trebui să fie mai strictă și mai diversă.

În funcție de politica formulată, puteți alege mecanisme specifice care asigură securitatea sistemului.

Nivel organizațional de protecție a informațiilor.

Pe baza deficiențelor descrise în secțiunea anterioară, se pot propune următoarele măsuri pentru îmbunătățirea securității informațiilor:

Organizarea muncii pentru formarea personalului în abilitățile de lucru cu noi produse software cu participarea specialiștilor calificați;

Dezvoltarea măsurilor necesare care vizează îmbunătățirea sistemului de securitate economică, socială și informațională a întreprinderii.

Asigurați instruire astfel încât fiecare angajat să fie conștient de importanța și confidențialitatea informațiilor care îi sunt încredințate, deoarece, de regulă, motivul dezvăluirii informațiilor confidențiale este cunoașterea insuficientă de către angajați a regulilor de protecție a secretelor comerciale și a neînțelegerii (sau neînţelegere) a necesităţii respectării lor cu grijă.

Control strict asupra respectării de către angajați a regulilor de lucru cu informații confidențiale;

Monitorizarea respectării regulilor de stocare a documentației de lucru ale angajaților întreprinderii;

Întâlniri programate, seminarii, discuții pe probleme de securitate a informațiilor întreprinderii;

Verificarea și întreținerea regulată (programată) a tuturor sistemelor informaționale și a infrastructurii informaționale pentru operabilitate.

Numiți un administrator de sistem în mod permanent.

Măsuri software și hardware pentru protejarea informațiilor.

Software-ul și hardware-ul sunt una dintre cele mai importante componente ale implementării securitatea informatieiîntreprindere, prin urmare, pentru a crește nivelul de protecție a informațiilor, este necesar să se introducă și să se aplice următoarele măsuri:

Introducerea parolelor utilizatorului;

Pentru a reglementa accesul utilizatorilor la resursele de informații ale întreprinderii, trebuie să introduceți o listă de utilizatori care vor intra în sistem sub datele de conectare. Folosind sistemul de operare Windows Server 2003 Std instalat pe server, puteți crea o listă de utilizatori cu parolele corespunzătoare. Distribuiți parolele angajaților cu instrucțiuni adecvate pentru utilizarea lor. De asemenea, trebuie să introduceți data de expirare a parolei, după care utilizatorului i se va cere să schimbe parola. Limitați numărul de încercări de conectare cu o parolă incorectă (de exemplu, la trei).

Introducerea unei solicitări de parolă în programul 1C: Enterprise la lucrul cu o bază de date, la schimbarea datelor. Acest lucru se poate face folosind instrumente software și software pentru PC.

Diferențierea accesului la fișiere, directoare, discuri.

Diferențierea accesului la fișiere și directoare va fi efectuată de administratorul de sistem, care va permite accesul la unitățile, folderele și fișierele corespunzătoare pentru fiecare utilizator în mod specific.

Scanarea regulată a stațiilor de lucru și actualizarea bazelor de date cu programe antivirus.

Vă permite să detectați și să neutralizați malware eliminați cauzele infecției. Este necesar să se efectueze instalarea, configurarea și întreținerea instrumentelor și sistemelor protectie antivirus.

Pentru a face acest lucru, trebuie să configurați programul antivirus pentru a vă scana în mod regulat computerul și a actualiza în mod regulat bazele de date de pe server.

Instalarea firewall-ului Agnitum Outpost FireWall pe computerul server, care blochează atacurile de pe Internet.

Beneficiile utilizării Agnitum Outpost Firewall:

¾ controlează conexiunile computerului dvs. cu alții, blocând hackeri și împiedicând accesul neautorizat la rețea externă și internă.

Măsurile de protecție luate ar trebui să fie adecvate probabilității de implementare de acest tip amenințarea și prejudiciul potențial care ar putea fi cauzat dacă amenințarea s-ar materializa (inclusiv costurile de apărare împotriva acesteia).

Trebuie avut în vedere faptul că multe măsuri de protecție necesită resurse de calcul suficient de mari, care la rândul lor afectează semnificativ procesul de prelucrare a informațiilor. Prin urmare, o abordare modernă a soluționării acestei probleme este aplicarea principiilor managementului situațional al securității resurselor informaționale în sistemele de control automatizate. Esența acestei abordări constă în faptul că nivelul necesar de securitate a informațiilor este stabilit în conformitate cu situația care determină raportul dintre valoarea informațiilor prelucrate, costuri (scăderea performanței sistemelor de control automatizate, memorie cu acces aleator etc.), care sunt necesare pentru atingerea acestui nivel, precum și eventualele pierderi totale (materiale, morale etc.) din denaturarea și utilizarea neautorizată a informațiilor.

Caracteristicile necesare de protecție a resurselor informaționale sunt determinate în cursul planificării situaționale în timpul pregătirii directe a procesului tehnologic de prelucrare securizată a informațiilor, ținând cont de situația actuală, precum și (într-un volum redus) în timpul procesului de prelucrare. Atunci când alegeți măsurile de protecție, trebuie să țineți cont nu numai de costurile directe ale achiziționării de echipamente și programe, ci și de costurile de introducere de noi produse, de formare și recalificare a personalului. O circumstanță importantă este compatibilitatea noului instrument cu structura hardware și software existentă a obiectului.

Experiența străină în domeniul protecției proprietății intelectuale și experiența internă în protecția secretelor de stat arată doar că protecţie cuprinzătoare, care combină domenii de protecție precum cele juridice, organizaționale și de inginerie.

Direcția juridică prevede formarea unui set de acte legislative, documente de reglementare, reglementări, instrucțiuni, îndrumări, ale căror cerințe sunt obligatorii în sfera activităților lor în sistemul de securitate a informațiilor.

Direcția organizațională- aceasta este reglementarea activităților de producție și a relației dintre artiștii executanți pe bază legală, astfel încât dezvăluirea, scurgerea și accesul neautorizat la informații confidențiale devin imposibile sau îngreunate semnificativ de măsurile organizatorice.

Potrivit experților, măsurile organizatorice joacă un rol important în crearea unui mecanism fiabil de protecție a informațiilor, întrucât posibilitatea utilizării neautorizate a informațiilor confidențiale se datorează în mare măsură nu aspectelor tehnice, ci acțiunilor rău intenționate, neglijenței, neglijenței și neglijenței utilizatorilor sau a securității. personal.

Activitățile organizatorice includ:

Activități desfășurate în proiectarea, construcția și echiparea clădirilor și spațiilor de birouri și industriale;

Activitati desfasurate in selectia personalului;

Organizarea și întreținerea unui control fiabil al accesului, securitatea spațiilor și a teritoriului, controlul asupra vizitatorilor;

Organizarea stocării și utilizării documentelor și purtătorilor de informații confidențiale;

Organizarea securității informațiilor;

Organizarea de formare regulată a angajaților.

Una dintre componentele principale ale securității informaționale organizaționale a companiei este Serviciul de Securitate Informațională (ISS - organismul de management al sistemului de securitate a informațiilor). Este de la pregătirea profesională a angajaților serviciului de securitate a informațiilor, prezența în arsenalul lor mijloace moderne managementul securității depinde în mare măsură de eficacitatea măsurilor de protecție a informațiilor. Structura, mărimea și componența personalului acestuia sunt determinate de nevoile reale ale companiei, de gradul de confidențialitate al informațiilor acesteia și de starea generală de securitate.

Scopul principal al funcționării ISS, folosind măsuri organizatorice și software și hardware, este evitarea sau cel puțin minimizarea posibilității încălcării politicii de securitate, în ultimă instanță, pentru a sesiza și elimina la timp consecințele încălcării.

Pentru a asigura funcționarea cu succes a SIS, este necesar să se determine drepturile și obligațiile acestuia, precum și regulile de interacțiune cu alte unități în problemele de protecție a informațiilor din unitate. Numărul de servicii ar trebui să fie suficient pentru a îndeplini toate funcțiile care îi sunt atribuite. Este de dorit ca personalul serviciului să nu aibă atribuții legate de funcționarea obiectului de protecție. Serviciul de securitate a informatiilor trebuie sa fie asigurat cu toate conditiile necesare indeplinirii functiilor sale.

miez inginerie si directie tehnica sunt instrumente software și hardware de securitate a informațiilor, care includ inginerie mecanică, electromecanică, electronică, optică, laser, radio și radio, radare și alte dispozitive, sisteme și structuri concepute pentru a asigura securitatea și protecția informațiilor.

Software-ul de securitate a informațiilor este înțeles ca un set de programe speciale, realizând funcțiile de protecție a informațiilor și modul de funcționare.

Setul format de măsuri legale, organizatorice și de inginerie are ca rezultat o politică de securitate adecvată.

Politica de securitate determină apariția sistemului de securitate a informațiilor sub forma unui set de norme legale, măsuri organizaționale (legale), un set de instrumente software și hardware și soluții procedurale care vizează contracararea amenințărilor pentru eliminarea sau minimizarea posibilelor consecințe ale informațiilor. impacturi. După adoptarea uneia sau alteia versiuni a politicii de securitate, este necesar să se evalueze nivelul de securitate al sistemului informațional. Desigur, evaluarea securității se realizează în funcție de un set de indicatori, dintre care principalii sunt costul, eficiența și fezabilitatea.

Evaluarea opțiunilor de construire a unui sistem de securitate a informațiilor este o sarcină destul de complicată, care necesită utilizarea metodelor matematice moderne pentru evaluarea performanței multiparametrice. Acestea includ: metoda de analiză a ierarhiilor, metodele expertului, metoda concesiunilor succesive și o serie de altele.

Atunci când sunt luate măsurile preconizate, este necesar să se verifice eficacitatea acestora, adică să se asigure că riscurile reziduale au devenit acceptabile. Abia atunci poate fi stabilită data următoarei reevaluări. În caz contrar, va trebui să analizați greșelile făcute și să efectuați o a doua sesiune de analiză a vulnerabilităților, ținând cont de modificările din sistemul de protecție.

Scenariul posibil generat al acțiunilor intrusului necesită verificarea sistemului de securitate a informațiilor. Acest test se numește „testare de penetrare”. Scopul este de a oferi asigurarea că nu există modalități ușoare pentru un utilizator neautorizat de a ocoli mecanismele de securitate.

Unul dintre moduri posibile atestări de securitate a sistemului - invitarea hackerilor să pirateze fără notificare prealabilă personalului rețelei. Pentru aceasta este alocat un grup de două sau trei persoane cu pregătire profesională înaltă. Hackerii sunt dotați cu un sistem automatizat protejat, iar grupul încearcă să găsească vulnerabilități timp de 1-3 luni și să dezvolte instrumente de testare pe baza acestora pentru a ocoli mecanismele de protecție. Hackerii angajați trimit un raport confidențial cu privire la rezultatele muncii, cu o evaluare a nivelului de disponibilitate a informațiilor și recomandări pentru îmbunătățirea protecției.

Alături de această metodă, sunt utilizate instrumente de testare software.

La scenă intocmirea unui plan de protectieîn conformitate cu politica de securitate aleasă, se elaborează un plan de implementare a acesteia. Planul de protecție este un document care pune în aplicare sistemul de protecție a informațiilor, care este aprobat de șeful organizației. Planificarea nu este doar despre cea mai bună utilizare toate posibilitățile de care dispune compania, inclusiv resursele alocate, dar și cu prevenirea acțiunilor eronate care ar putea duce la scăderea eficacității măsurilor luate pentru protejarea informațiilor.

Planul de securitate a informațiilor site-ului ar trebui să includă:

Descrierea sistemului protejat (principalele caracteristici ale obiectului protejat: scopul obiectului, lista sarcinilor de rezolvat, configurația, caracteristicile și amplasarea hardware-ului și software-ului, lista categoriilor de informații (pachete, fișiere, seturi și baze de date în care sunt conținute) care urmează să fie protejate, precum și cerințele pentru asigurarea accesului, confidențialității, integrității acestor categorii de informații, o listă a utilizatorilor și autoritatea acestora de a accesa resursele sistemului etc.);

Scopul protejării sistemului și modalități de asigurare a securității sistemului automatizat și a informațiilor care circulă în acesta;

O listă de amenințări semnificative la adresa securității unui sistem automatizat de la care este necesară protecție și modalitățile cele mai probabile de a provoca daune;

Politica de securitate a informațiilor;

Planul de finanțare și diagrama functionala sisteme de securitate a informațiilor din unitate;

Specificarea instrumentelor de securitate a informațiilor și estimarea costurilor pentru implementarea acestora;

Plan calendaristic pentru realizarea măsurilor organizatorice și tehnice de protecție a informațiilor, procedura de punere în aplicare a mijloacelor de protecție;

Reguli de bază care reglementează activitățile personalului în probleme de asigurare a securității informațiilor unității (atribuții speciale ale funcționarilor care deservesc sistemul automatizat);

Procedura de revizuire a planului și de modernizare a mijloacelor de protecție.

Planul de protecție este revizuit atunci când sunt modificate următoarele componente ale obiectului:

Arhitecturi ale sistemelor informatice (conectarea altor rețele locale, schimbarea sau modificarea echipamentelor informatice sau a software-ului utilizat);

Amplasarea teritorială a componentelor sistemului automatizat.

Ca parte a planului de protecție, este necesar să existe un plan de acțiune pentru personalul aflat în situații critice, de ex. planul de aprovizionare muncă continuă și recuperarea informațiilor. Ea reflectă:

Scopul asigurării continuității procesului de funcționare a sistemului automatizat, restabilirea performanței acestuia și modalități de realizare a acestuia;

Lista și clasificarea posibilelor situații de criză;

Cerințe, măsuri și mijloace pentru a asigura funcționarea și restabilirea continuă a procesului de prelucrare a informațiilor (procedura de creare, stocare și utilizare copii de rezervă informarea, întreținerea arhivelor curente, pe termen lung și de urgență; compoziția echipamentului de rezervă și procedura de utilizare a acestuia etc.);

Responsabilitati si procedura pentru actiunile diverselor categorii de personal ale sistemului in situatii de criza, in cazul lichidarii consecintelor acestora, minimizarea prejudiciului cauzat si in restabilirea functionarii normale a sistemului.

Dacă o organizație face schimburi documente electronice cu partenerii în executarea comenzilor unice, este necesar să se includă în planul de protecție un acord privind procedura de organizare a schimbului de documente electronice, care reflectă următoarele aspecte:

Separarea răspunderii subiecților care participă la procesele de schimb electronic de documente;

Stabilirea procedurii de întocmire, executare, transmitere, acceptare, verificare a autenticității și integrității documentelor electronice;

Procedura de generare, certificare și distribuire a informațiilor cheie (chei, parole etc.);

Procedura de solutionare a litigiilor in caz de conflicte.

Planul de securitate a informațiilor este un pachet de documente textuale și grafice, prin urmare, împreună cu componentele de mai sus ale acestui pachet, poate include:

Regulamentul privind secretul comercial, care definește lista informațiilor care constituie secret comercial și procedura de determinare a acestuia, precum și îndatoririle funcționarilor de a proteja secretele comerciale;

Reglementări privind protecția informațiilor, care reglementează toate domeniile de activitate pentru implementarea politicii de securitate, precum și o serie de instrucțiuni suplimentare, reguli, reglementări care corespund specificului obiectului de protecție.

Implementarea planului de protectie (managementul sistemului de protectie) presupune elaborarea documentelor necesare, încheierea de contracte cu furnizorii, instalarea și configurarea echipamentelor etc. După formarea sistemului de securitate a informațiilor, se rezolvă sarcina utilizării efective a acestuia, adică managementul securității.

Managementul este un proces de influență intenționată asupra unui obiect, desfășurat pentru a organiza funcționarea acestuia conform unui program dat.

Managementul securității informațiilor ar trebui să fie:

Rezistent la interferența activă a intrusului;

Continuă, oferind un impact constant asupra procesului de protecție;

Ascuns, nepermițând dezvăluirea organizării managementului securității informațiilor;

Operațional, oferind posibilitatea de a răspunde în timp util și adecvat la acțiunile intrușilor și de a implementa deciziile de management până la o dată dată.

În plus, deciziile privind securitatea informațiilor ar trebui să fie justificate în ceea ce privește luarea în considerare cuprinzătoare a condițiilor de îndeplinire a sarcinii, aplicarea diverse modele, sarcini de calcul și de informare, sisteme expert, experiență și orice alte date care cresc fiabilitatea informațiilor și deciziilor inițiale.

Un indicator al eficacității managementului securității informațiilor este timpul ciclului de control pentru o anumită calitate a deciziilor. Ciclul de management include colectarea informațiilor necesare pentru evaluarea situației, luarea deciziilor, formarea comenzilor adecvate și executarea acestora. Ca criteriu de eficiență se poate utiliza timpul de răspuns al sistemului de securitate a informațiilor la o încălcare, care nu trebuie să depășească timpul de uzură a informațiilor în funcție de valoarea acesteia.

Așa cum arată dezvoltarea unor sisteme de control automatizate reale, niciuna dintre metodele (măsurile, mijloacele și activitățile) de asigurare a securității informațiilor nu este absolut fiabilă, iar efectul maxim se obține atunci când toate sunt combinate într-un sistem integral de protecție a informațiilor. Doar combinația optimă a măsurilor organizatorice, tehnice și de program, precum și atenția și controlul constant asupra menținerii la zi a sistemului de protecție vor face posibilă asigurarea cu cea mai mare eficiență a unei sarcini permanente.

Bazele metodologice pentru asigurarea securității informațiilor sunt recomandări destul de generale bazate pe experiența mondială în creare sisteme similare. Sarcina fiecărui specialist în securitatea informațiilor este să adapteze prevederile abstracte la domeniul lor specific (organizație, bancă), care are întotdeauna propriile particularități și subtilități.

O analiză a experienței interne și externe demonstrează în mod convingător necesitatea creării unui sistem integrat de securitate a informațiilor pentru o companie care să facă legătura între măsurile operaționale, operaționale, tehnice și organizaționale de protecție. Mai mult, sistemul de securitate ar trebui să fie optim din punct de vedere al raportului dintre costuri și valoarea resurselor protejate. Sistemul are nevoie de flexibilitate și adaptare la factorii de mediu în schimbare rapidă, condițiile organizaționale și sociale din instituție. Este imposibil să se atingă un astfel de nivel de securitate fără a analiza amenințările existente și posibilele canale de scurgere de informații, precum și fără a dezvolta o politică de securitate a informațiilor la nivelul întreprinderii. Ca urmare, trebuie creat un plan de protecție care să pună în aplicare principiile stabilite în politica de securitate.

Dar există și alte dificultăți și „capcane” cărora trebuie neapărat să le acordați atenție. Acestea sunt probleme care au fost identificate în practică și sunt slab susceptibile de formalizare: probleme de natură socială și politică care nu sunt de natură tehnică sau tehnologică, care sunt rezolvate într-un fel sau altul.

Problema 1. Lipsa de înțelegere în rândul personalului și managerilor din rândurile mijlocii și inferioare a necesității de a lucra pentru îmbunătățirea nivelului de securitate a informațiilor.

La această treaptă a scării manageriale, de regulă, sarcinile strategice cu care se confruntă organizația nu sunt vizibile. În același timp, problemele de securitate pot provoca chiar iritații - creează dificultăți „inutile”.

Următoarele argumente sunt adesea prezentate împotriva lucrului și luării de măsuri pentru a asigura securitatea informațiilor:

Apariția unor restricții suplimentare pentru utilizatorii finali și specialiștii departamentelor, ceea ce le face dificilă utilizarea sistemului de organizare automatizată;

Necesitatea unor costuri materiale suplimentare atât pentru realizarea unor astfel de lucrări, cât și pentru extinderea personalului de specialiști care se ocupă de problema securității informației.

Această problemă este una dintre cele principale. Toate celelalte întrebări acționează într-un fel sau altul ca consecințe. Pentru a o depăși, este importantă rezolvarea următoarelor sarcini: în primul rând, îmbunătățirea abilităților personalului în domeniul securității informațiilor prin organizarea de întâlniri și seminarii speciale; în al doilea rând, creșterea nivelului de conștientizare a personalului, în special, cu privire la sarcinile strategice cu care se confruntă organizația.

Problema 2 Confruntare între serviciul de automatizare și serviciul de securitate al organizațiilor.

Această problemă se datorează tipului de activitate și sferei de influență, precum și responsabilității acestor structuri în cadrul întreprinderii. Implementarea sistemului de protecție este în mâinile specialiștilor tehnici, iar responsabilitatea pentru securitatea acestuia revine serviciului de securitate. Specialistii in securitate vor sa limiteze cu orice pret cu ajutorul firewall-uri tot traficul. Dar oamenii care lucrează în departamentele de automatizare nu sunt dispuși să facă față problemelor suplimentare asociate cu întreținerea uneltelor speciale. Astfel de neînțelegeri nu au cel mai bun efect asupra nivelului de securitate al întregii organizații.

Această problemă, ca și majoritatea celor similare, este rezolvată prin metode pur manageriale. Este important, în primul rând, să existe un mecanism de soluționare a unor astfel de dispute în structura organizatorică a companiei. De exemplu, ambele servicii pot avea un singur șef care va rezolva problemele interacțiunii lor. În al doilea rând, documentația tehnologică și organizațională ar trebui să împartă în mod clar și competent sferele de influență și responsabilitatea departamentelor.

Problema 3. Ambiții și relații personale la nivelul managerilor de nivel mediu și superior.

Relațiile dintre lideri pot fi diferite. Uneori, atunci când desfășoară lucrări privind studiul securității informațiilor, unul sau altul oficial manifestă un interes excesiv față de rezultatele acestor lucrări. Într-adevăr, cercetarea este un instrument suficient de puternic pentru a-și rezolva problemele particulare și a-și satisface ambițiile. Concluziile și recomandările înregistrate în raport sunt folosite ca un plan pentru acțiunile ulterioare ale uneia sau alteia legături. O interpretare „liberă” a concluziilor raportului este posibilă și în combinație cu problema 5, descrisă mai jos. Această situație este un factor extrem de nedorit, deoarece denaturează sensul muncii și necesită identificarea și eliminarea în timp util la nivelul conducerii de vârf a întreprinderii. Cea mai bună opțiune relațiile de afaceri sunt atunci când interesele organizației sunt puse în prim plan, și nu personale.

Problema 4. Nivel scăzut de implementare a programului de acțiune planificat pentru crearea unui sistem de securitate a informațiilor.

Aceasta este o situație destul de banală când scopurile și obiectivele strategice se pierd la nivelul execuției. Totul poate începe perfect. Directorul General decide asupra necesității îmbunătățirii sistemului de securitate a informațiilor. Se angajează o firmă de consultanță independentă pentru auditarea sistemului de securitate a informațiilor existent. La finalizare, se generează un raport care cuprinde toate recomandările necesare pentru protejarea informațiilor, finalizarea fluxului de lucru existent în domeniul securității informațiilor, introducerea mijloacelor tehnice de protecție a informațiilor și măsuri organizatorice și susținerea în continuare a sistemului creat. Planul de protecție include măsuri pe termen scurt și pe termen lung. Recomandările ulterioare sunt transferate spre execuție unuia dintre departamente. Și aici este important ca aceștia să nu se înece în mlaștina birocrației, ambițiilor personale, lenețea personalului și alte o duzină de motive. Antreprenorul poate fi slab informat, nu este suficient de competent sau pur și simplu nu este interesat să facă lucrarea. Este important ca CEO-ul să monitorizeze implementarea planului planificat, pentru a nu pierde, în primul rând, fondurile investite în securitate la etapa inițială, iar în al doilea rând, pentru a nu suferi pierderi ca urmare a lipsei acestei securități. .

Problema 5. Calificarea scăzută a specialiștilor în securitatea informațiilor.

Acest aspect nu poate fi considerat un obstacol serios dacă nu reprezintă un obstacol în calea creării unui sistem de securitate a informațiilor. Cert este că planul de protecție, de regulă, include un astfel de eveniment precum pregătirea avansată a specialiștilor în domeniul protecției informațiilor din companie. Seminarii despre bazele organizării securității informațiilor pot fi organizate pentru specialiști din alte servicii. Este necesar să se evalueze corect calificările reale ale angajaților implicați în implementarea planului de protecție. Adesea, concluziile incorecte sau incapacitatea de a aplica în practică metodele de protecție duc la dificultăți în implementarea măsurilor recomandate. Cu un indiciu de astfel de circumstanțe, cea mai corectă cale de ieșire ar fi îmbunătățirea competențelor specialiștilor în securitatea informațiilor în centrele de formare special create pentru aceasta.

Astfel, activitățile practice în domeniul îmbunătățirii securității economice și informaționale demonstrează clar că crearea unui sistem de securitate a informațiilor în viața reală depinde în mare măsură de soluționarea în timp util a acestor probleme. Cu toate acestea, experiența acumulată arată că toate problemele luate în considerare pot fi rezolvate cu succes sub condiția unei strânse cooperări. munca în comun reprezentanţi ai clientului şi ai firmei executante. Principalul lucru este să realizați importanța efectuării unei astfel de lucrări, să identificați amenințările existente în timp util și să aplicați contramăsuri adecvate, care, de regulă, sunt specifice fiecărei întreprinderi în particular. Prezența dorinței și oportunităților este o condiție suficientă pentru munca fructuoasă, al cărei scop ar fi crearea unui sistem integrat pentru asigurarea securității organizației.

Anterior

Cel mai vulnerabil loc din sistemul de securitate poate fi numit angajați ai întreprinderii și software și hardware. În special, nu backup date de pe computerele personale atunci când echipamentul defectează, unele date importante se pot pierde; actualizare nu rulează sistem de operare MS Windows XP și software-ul utilizat, ceea ce poate duce la accesul neautorizat la informațiile stocate pe computer sau la deteriorarea acestora din cauza erorilor din software; accesul angajaților la resursele de internet nu este controlat, ceea ce poate duce la scurgeri de date; Afaceri corespondență prin e-mail efectuate pe internet prin canale nesigure, mesaje E-mail stocate pe servere de servicii de poștă pe Internet; unii angajați au competențe insuficiente în lucrul cu sistemele automatizate utilizate în academie, ceea ce poate duce la apariția datelor incorecte în sistem; angajații au acces la calculatoare personale colegii dvs., ceea ce din neatenție poate duce la pierderea datelor; toți membrii facultății au acces la arhivă, drept urmare unele dosare personale pot fi pierdute sau căutarea lor poate dura mult timp; dispărut reguli pe securitate.

Scopul principal al sistemului de securitate a informațiilor este de a asigura funcționarea stabilă a unității, de a preveni amenințările la adresa securității acesteia, de a proteja interesele legitime ale întreprinderii de încălcări ilegale, de a preveni dezvăluirea, pierderea, scurgerea, denaturarea și distrugerea informațiilor de serviciu și personale. informare, asigurând activitățile normale de producție ale tuturor departamentelor unității.

Un alt obiectiv al sistemului de securitate a informațiilor este îmbunătățirea calității serviciilor oferite și a garanțiilor de securitate.

Sarcinile formării unui sistem de securitate a informațiilor într-o organizație sunt: ​​integritatea informațiilor, fiabilitatea informațiilor și confidențialitatea acesteia. Când sarcinile sunt finalizate, obiectivul va fi realizat.

Crearea sistemelor de securitate a informațiilor în SI și IT se bazează pe următoarele principii:

O abordare sistematică a construirii unui sistem de protecție, ceea ce înseamnă combinația optimă de proprietăți organizaționale, software, hardware, fizice și de altă natură interconectate, confirmată de practica creării de sisteme de protecție interne și externe și utilizate în toate etapele ciclului tehnologic de prelucrare a informațiilor .

Principiul dezvoltării continue a sistemului. Acest principiu, care este unul dintre cele fundamentale pentru sistemele informatice informatice, este și mai relevant pentru NIS. Modalitățile de implementare a amenințărilor la adresa informațiilor în IT sunt în mod constant îmbunătățite și, prin urmare, asigurarea securității IP nu poate fi un act unic. Acesta este un proces continuu, care constă în fundamentarea și implementarea celor mai raționale metode, metode și modalități de îmbunătățire a ISS, monitorizare continuă, identificarea blocajelor și punctelor slabe ale acestuia, a potențialelor canale de scurgere de informații și a noilor metode de acces neautorizat.

Separarea și minimizarea competențelor de acces la informațiile prelucrate și la procedurile de prelucrare, i.e. oferirea atât utilizatorilor, cât și angajaților SI cu un minim de puteri strict definite, suficiente pentru ca aceștia să își îndeplinească atribuțiile oficiale.

Completitudinea controlului și înregistrării încercărilor de acces neautorizat, de ex. necesitatea stabilirii cu exactitate a identitatii fiecarui utilizator si consemnarii actiunilor acestuia in vederea unei eventuale investigatii, precum si imposibilitatea efectuarii oricarei operatiuni de prelucrare a informatiilor in IT fara inregistrarea prealabila a acestuia.

Asigurarea fiabilității sistemului de protecție, i.e. imposibilitatea reducerii nivelului de fiabilitate în cazul defecțiunilor, defecțiunilor, acțiunilor deliberate ale unui hacker sau erorilor neintenționate ale utilizatorilor și personalului de întreținere a sistemului.

Asigurarea controlului asupra funcționării sistemului de protecție, i.e. crearea de mijloace și metode de monitorizare a performanței mecanismelor de protecție.

Furnizarea de tot felul de instrumente anti-malware.

Asigurarea fezabilității economice a utilizării sistemului de protecție, care se exprimă în excesul de posibile daune aduse SI și IT din implementarea amenințărilor peste costul dezvoltării și exploatării SSI.

PROIECT DE CURS

pe tema: „Îmbunătățirea sistemului de securitate a informațiilor la compania SRL” Compania de management „Ashatli””

Introducere

Tema dezvoltării unei politici de securitate a informațiilor la întreprinderi, firme și organizații este relevantă în lumea modernă. Securitatea informației (la nivelul întreprinderilor și organizațiilor) este protecția informațiilor și a infrastructurii de suport împotriva impacturilor accidentale sau intenționate de natură naturală sau artificială care pot cauza prejudicii inacceptabile subiecților relațiilor informaționale.

Compania are un local modern rețea de calculatoareși a instalat software-ul necesar și există acces la Internet. Odată cu existența unui număr atât de mare de resurse informaționale, este necesară și o politică de securitate a informațiilor. La această întreprindere, este necesară îmbunătățirea politicii de securitate a informațiilor pentru a minimiza amenințările la securitatea informațiilor, care este scopul acestui proiect de curs. O amenințare la securitatea informațiilor este o acțiune reală sau potențială care vizează încălcarea securității informațiilor, ceea ce duce la daune materiale și morale.



1. Analiza securității informațiilor Ashatli Management Company LLC

    1. Informații generale despre organizație

Agroholding „Ashatli” este un grup de companii agricole în curs de dezvoltare dinamic, integrat vertical și orizontal, participant la proiectul „Buy Perm!”.

Agroholding „Ashatli” a fost înființată în anul 2007 și are astăzi următoarele domenii de activitate: agricultura lactatelor, prelucrarea lactatelor, producția de plante, cultivarea legumelor, salatelor și ierburilor în sere, floricultură hidroponică, precum și comerțul cu amănuntul de pământ și carne.

Unul dintre avantaje, ca holding în dezvoltare dinamică, este o abordare flexibilă a specificului muncii și a dorințelor clienților. Specialiștii companiei sunt capabili să execute lucrări de aproape orice volum și complexitate. Experiența de lucru versatilă și profesionalismul angajaților ne permit să garantăm îndeplinirea oricăror sarcini în perioada contractuală.

Locație SRL „Compania de management „Ashatli”

614010, Rusia, regiunea Perm, Perm, perspectiva Komsomolsky, 70a

1.2 Caracteristicile resurselor informaţionale ale întreprinderii

Conform Legii federale „Cu privire la informații, tehnologiile informației și protecția informațiilor”, informațiile disponibile publicului includ informații binecunoscute și alte informații, accesul la care nu este limitat. Informațiile disponibile public pot fi folosite de orice persoană la discreția sa, sub rezerva restricțiilor stabilite de legile federale cu privire la difuzarea acestor informații.

La Ashatli Management Company LLC, informațiile publice sunt disponibile pe site-ul companiei sau pot fi furnizate de managerii de campanie. Astfel de informații includ:

    informațiile cuprinse în statutul organizației.

    Situațiile financiare;

    Componența conducerii etc.;

    Informații despre premiile și licitațiile campaniei;

    Informații despre posturile vacante și informații despre numărul și componența angajaților, despre condițiile lor de muncă, despre sistemul de salarizare;

    Datele de contact ale managerilor de campanie;

Organizația deține, de asemenea, informații, a căror utilizare și difuzare este restricționată de proprietarul lor, adică. organizare. Astfel de informații se numesc protejate. Acesta include informații referitoare la viața personală a angajaților organizației.

Următorul tip de informații sunt informațiile care sunt secrete comerciale. Conform Legii federale „Cu privire la informații, tehnologii informaționale și protecția informațiilor”, informațiile care constituie secret comercial (secretul de producție) sunt informații de orice natură (de producție, tehnică, economică, organizațională și altele), inclusiv rezultatele activității intelectuale în domeniul științific. și sfera tehnică, precum și informații despre modalitățile de desfășurare a activităților profesionale care au valoare comercială reală sau potențială din cauza necunoscutei acestora față de terți, la care terții nu au acces liber în temeiul legal, în privința cărora proprietarul unor astfel de informații a introdus un regim de secret comercial (p. 2 modificat prin Legea federală nr. 231-FZ din 18 decembrie 2006)

Următoarele informații sunt clasificate ca secret comercial în Ashatli Management Company LLC:

    Informații despre identitatea lucrătorilor, adresele de domiciliu.

    Informații despre clienți, datele lor de contact și datele personale.

    Informații despre proiecte, termenii și condițiile contractelor.

Resursele informaționale ale companiei includ documente și acte pe hârtie, o rețea locală.

1.3 Amenințări la securitatea informațiilor specifice acestei întreprinderi

Sub amenințarea securității informațiilor se înțelege posibilitatea potențială de încălcare a calităților sau proprietăților de bază ale informațiilor - disponibilitate, integritate și confidențialitate. Principalul tip de amenințare la securitatea informațiilor pentru această companie poate fi considerat acces neautorizat la informații legate de secretele comerciale.

Conform metodelor de influențare a obiectelor de securitate a informațiilor, amenințările relevante pentru societate sunt supuse următoarei clasificări: informaționale, software, fizice, organizaționale și juridice.

Amenințările informaționale includ:

    acces neautorizat la resursele informaționale;

    furt de informații din arhive și baze de date;

    colectarea și utilizarea ilegală a informațiilor;

Amenințările software includ:

Amenințările fizice includ:

    distrugerea sau distrugerea facilitatilor de prelucrare si comunicare a informatiilor;

    furt de medii de stocare;

    impact asupra personalului;

Amenințările organizaționale și juridice includ:

    achiziționarea de tehnologii informaționale imperfecte sau învechite și instrumente de informatizare;

Întreprinderea LLC „UK „Ashatli” poate fi expusă unor astfel de amenințări informaționale, cum ar fi

    Hackerea bazelor de date sau utilizarea neautorizată a informațiilor comerciale pentru a transfera date către concurenții întreprinderii, ceea ce poate afecta negativ activitățile întreprinderii și, în cazuri extreme, poate duce la ruinarea, lichidarea acesteia.

    Dezvăluirea informațiilor confidențiale de către angajați, utilizarea acestora în scopuri egoiste pentru profit, deoarece mulți angajați au acces la baza de date 1C Trade Management.

    Angajații întreprinderii pot influența în mod intenționat sau accidental difuzarea informațiilor, de exemplu, prin e-mail,ICQși alte mijloace digitale de comunicare, care pot afecta negativ reputația întreprinderii, deoarece au acces la informațiile organizației.

    Una dintre cele mai frecvente amenințări la adresa securității informațiilor este defecțiunile și defecțiunile software-ului, mijloace tehnice ale companiei, deoarece echipamentul defectează adesea chiar și cel mai nou, iar compania poate fi, de asemenea, furnizată cu echipamente de calitate scăzută din punct de vedere tehnic.

    O situație de acces fizic neautorizat la mijloace tehnice, care sunt surse de informații, precum și furtul unui mediu cu informații importante (unitate flash, hard disk extern etc.) sau numai date. De fapt, acesta este furtul de proprietate intelectuală prin intermediul rețelei sau furtul fizic al mass-media.

    Una dintre cele mai importante amenințări informaționale sunt erorile personalului organizației. Omisiunile în activitatea managerilor, îndeplinirea necinstă a atribuțiilor lor de către consultanți pot duce la încălcarea integrității informațiilor și pot apărea și situații de conflict cu clienții.

    Amenințările software includ diverse programe malware, pierderea parolelor, nesiguranța software-ului utilizat, precum și lipsa unui sistem de rezervă.

1.4 Măsuri, metode și mijloace de protecție a informațiilor utilizate în întreprindere

Nivelul legislativ de protecție este un ansamblu de acte legislative din domeniul informației și tehnologiei informației. Acest nivel include: Constituția Federației Ruse, Codul civil al Federației Ruse, Codul penal al Federației Ruse, Legea federală „Cu privire la informații, tehnologii informaționale și protecția informațiilor”, etc.

Nivelul administrativ de protecție a informațiilor este reflectat în programul IS. Baza programului este politica de securitate a informațiilor - un document publicat (set de documente), care este acceptat de conducerea organizației și are ca scop protejarea resurselor informaționale ale acestei organizații. Această organizație nu a dezvoltat o politică de securitate a informațiilor și acest nivel de protecție a informațiilor nu este prezentat.

Măsurile folosite la nivel procedural pentru protejarea informațiilor în Ashatli Management Company LLC includ faptul că trecerea în clădire se realizează numai prin aranjare prealabilă, iar în clădire este instalat un sistem de alarmă. Acelasi cus-a încheiat un contract de protecţie a spaţiilor cu securitate nedepartamentală.

Luați în considerare instrumentele de securitate a informațiilor utilizate în întreprindere. Sunt patru în total (hardware, software, mixt, organizatoric).

    Hardware de securitate - încuietori, bare ferestre, alarme de securitate, dispozitive de protecție la supratensiune, camere CCTV.

    Protecții software: sunt utilizate instrumente ale sistemului de operare precum protecție, parolă, conturi.

    Mijloace organizatorice de protectie: pregatirea spatiului cu calculatoare.

    La nivel hardware și software, sunt luate următoarele măsuri pentru a proteja informațiile:

    • Utilizarea unui program antivirus pe toate computerele (ESET NOD32 Business Edition NOD Antivirus 32)

      Folosind încorporat Instrumente Windows pentru a autoriza un utilizator de calculator.

      Utilizarea autentificărilor / parolelor speciale pentru autorizare în baza de date 1C Trade Management.



2. Îmbunătățirea sistemului de securitate a informațiilor

2.1 Puncte slabe în sistemul de securitate a informațiilor

Unele dintre amenințările la adresa securității informațiilor, cum ar fi accesul neautorizat din exterior, funcționarea incorectă a software-ului sau defecțiunile tehnice, sunt neutralizate destul de cu succes de configurarea și administrarea rețelei competente, dar nu există măsuri de prevenire a amenințărilor interne.

În procesul de analiză a sistemului de securitate a informațiilor existent în Ashatli Management Company LLC, au fost identificate următoarele neajunsuri:

    Nu utilizarea completă a funcționalității 1C. Drepturile de acces la datele din baza de date nu sunt complet separate, precum și parolele nu îndeplinesc cerințele de complexitate sau unii angajați pur și simplu nu le folosesc.

    Nu există restricții privind formatele și dimensiunile datelor transmise prin Internet (*.mp3,*. avi,*. rar) pentru anumiți angajați.

    Unii angajați stochează informații confidențiale în foldere publice pur și simplu din cauza propriei neatenții și, de asemenea, stochează login / parola de la sistemele de informații care necesită autorizare în locuri ușor accesibile de pe desktop.

    Informațiile pe hârtie practic nu sunt protejate, cu excepția celor mai importante. (Contracte de împrumut, contracte de închiriere, rezultate audit etc.)

2.2 Scopuri și obiective ale formării sistemului de securitate a informațiilor în întreprindere

Astfel, putem concluziona că există o mare nevoie de îmbunătățire a sistemului existent de securitate a informațiilor. De asemenea, este necesar să se protejeze cu atenție baza de clienți a campaniei, deoarece acest lucru este foarte Informații importante, care nu este supus dezvăluirii către persoane din afară.

Angajații campaniei de multe ori nu realizează că organizarea corectă a integrității bazelor de date și documentelor, menținându-le într-o manieră ordonată, afectează direct viteza companiei și, în consecință, competitivitatea acesteia și, prin urmare, nivelul salariilor lor.

Cea mai mare amenințare la adresa funcționalității contabilității electronice este reprezentată de diverși viruși care intră în computerele din rețea prin intermediul internetului, precum și posibilitatea de acces la directoare și documente electronice de către persoane neautorizate.

Obiectivele securității informațiilor:

prevenirea amenințărilor la adresa securității întreprinderii din cauza acțiunilor neautorizate de distrugere, modificare, distorsionare, copiere, blocare a informațiilor sau a altor forme de interferență ilegală în resursele informaționale și sistemele informaționale;

păstrarea secretelor comerciale prelucrate cu ajutorul tehnologiei informatice;

protecția drepturilor constituționale ale cetățenilor de a păstra secretul personal și confidențialitatea datelor cu caracter personal disponibile în sistemele informaționale.

Sarcinile formării unui sistem de securitate a informațiilor într-o organizație sunt: ​​integritatea informațiilor, fiabilitatea informațiilor și confidențialitatea acesteia. Când sarcinile sunt finalizate, obiectivul va fi realizat.

2.3 Măsuri propuse pentru îmbunătățirea sistemului de securitate a informațiilor la nivel legislativ, administrativ, procedural și software și hardware

Pentru a elimina deficiențele identificate în sistemul de securitate a informațiilor al Ashatli Management Company LLC, se propune introducerea următoarelor măsuri:

La nivel legislativ, nu sunt planificate modificări pentru introducerea de noi măsuri pentru asigurarea securității informațiilor.

Este necesar să se introducă măsuri la nivel administrativ în politica de securitate a firmei. La nivel administrativ se propune:

    Creați un set de instrucțiuni de securitate a informațiilor în cadrul companiei pentru anumite categorii de angajați (schimbați și stocați parolele în locuri inaccesibile, interziceți vizitarea resurselor terților etc.).

    Prevăzuți o serie de activități motivaționale în interesul angajaților în conformitate cu politica de securitate, precum și pedeapsă pentru încălcarea gravă a politicii de securitate a companiei. (bonusuri si penalitati)

Pentru îmbunătățirea sistemului de securitate la nivel procedural se propun următoarea serie de măsuri:

    Restricționați accesul persoanelor neautorizate la anumite departamente ale companiei.

    Efectuați o serie de consultări cu angajații organizației pe probleme de securitate a informațiilor și instrucțiuni privind respectarea politicii de securitate.

La nivel hardware și software se propune introducerea următoarelor măsuri:

    Obligați toți angajații să folosească parole pentru a accesa baza de date 1C și restricționați cu mai multă atenție accesul la anumite date ale bazei de date (directoare, documente și rapoarte) ale tuturor angajaților.

    Este necesar să schimbați toate login-urile și parolele standard pentru acces laADSL-Router, este necesar ca parolele sa corespunda nivelului de complexitate.

    Introduceți restricții cu privire la formatele și dimensiunile fișierelor transmise prin Internet angajaților individuali prin crearea de filtreESETDA DIN CAP32 AfaceriEdiție

Astfel, ne-am hotărât asupra schimbărilor în sistem existent securitatea informațiilor a SRL „Marea Britanie „Ashatli”. Printre aceste modificări, cheia este lucrul cu personalul, deoarece indiferent de ce software perfect de securitate a informațiilor este implementat, cu toate acestea, toate lucrările cu acestea sunt efectuate de personal, iar principalele defecțiuni ale sistemului de securitate al organizației sunt de obicei cauzate de personal. Personalul motivat corespunzător, orientat spre rezultate reprezintă deja jumătate din ceea ce este necesar pentru funcționarea eficientă a oricărui sistem.

2.4 Eficacitatea măsurilor propuse

Cel mai important avantaj al sistemului de securitate actualizat la Ashatli Management Company LLC este schimbarea personalului. Majoritatea problemelor din sistemul de securitate existent au fost cauzate de personal.

Beneficiile folosiriiESET NOD32 Business Edition:

    Soluție scalabilă

    • concentrat pe întreprinderi de la 5 la 100.000 de computere într-o singură structură

      instalat atât pe server, cât și pe stațiile de lucru

    Tehnologii moderne

    • protecție proactivă împotriva amenințărilor necunoscute

      aplicarea tehnologiilor inteligente care combină metode euristice și de detectare a semnăturilor

      nucleul euristic actualizat ThreatSense™

      regulat actualizare automata baze de semnătură

    Filtrarea conținutului de e-mail și web

    • scanarea completă a tuturor e-mailurilor primite prin protocoalele POP3 și POP3s

      scanarea e-mailurilor primite și trimise

      raport detaliat despre malware detectat

      integrare deplină în popular clienti de mail: Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Datele Mail, Mozilla Thunderbird și The Bat! nu vor fi ocupate cu transmiterea de informații străine.

      Management centralizat

      Cu Soluție ESET Remote Administrator puteți instala și dezinstala de la distanță produse software ESET , controlați funcționarea software-ului antivirus, creați servere în rețea pentru actualizare locală produse ESET ("oglinzi"), permițând reducerea semnificativă a traficului de internet extern.

    Rapoarte convenabile

    • ESET NOD 32 Ediția Business generează automat un raport asupra obiectelor infectate detectate trimise în carantină, asupra dinamicii amenințărilor, evenimentelor, scanărilor, sarcinilor, pot fi generate diverse rapoarte combinate etc. Este posibil să trimiteți avertismente și mesaje prin intermediul protocolului SMTP sau prin intermediul managerului de mesaje.

Antivirus de înaltă calitate protectia retelei va evita întreruperi în funcționarea computerelor, acest lucru este deosebit de important pentru locurile de muncă ale managerilor și consultanților. Astfel de îmbunătățiri vor afecta fiabilitatea campaniei ca partener de afaceri pentru mulți clienți, ceea ce va avea un efect benefic asupra imaginii campaniei, precum și asupra veniturilor acesteia. Backup-ul automat al informațiilor va asigura integritatea și siguranța acestora, iar arhivarea va oferi posibilitatea de a le restaura rapid în situațiile necesare.

3. Model de securitate a informațiilor

Modelul de securitate a informațiilor prezentat este un ansamblu de factori externi și interni obiectivi și influența acestora asupra stării securității informațiilor din unitate și asupra siguranței resurselor materiale sau informaționale. Mijloacele materiale și tehnice, datele personale, documentele sunt considerate obiecte.

VOLUM PROTEJATKTY

OBIECTE PROTEJATE

- datele personale ale elevilor f acultă;

Dosarele personale ale elevilor;

Cartele personale ale elevilor;

documente curente;

Valori materiale și tehnice.

AMENINȚĂRI SECURITATE

- furt;

- acces neautorizat;

- încălcarea integrității informațiilor rmation;

Eșecuri de software și hardware.

METODE DE PROTECȚIE

- reguli;

- masuri si metode organizatorice, tehnice si de securitate;

- software și hardware oby;

Protecția organizațională.

SURSE DE AMENINTARI

- surse antropice (personal, studenți, intruși);

Surse tehnogene (software și hardware);

Surse naturale de amenințări (incendii, inundații, cutremure etc.).

Concluzie

În procesul de implementare a proiectului de curs, a fost făcută o analiză a instrumentelor de securitate a informațiilor ale întreprinderii LLC „UK” Ashatli”. S-a făcut o analiză a resurselor informaționale ale întreprinderii, o analiză a amenințărilor la adresa securității informațiilor și au fost identificate deficiențele corespunzătoare.

Implementarea acțiunilor corective propuse va permite întreprinderii să crească eficacitatea măsurilor de protecție și să reducă riscul pierderii de informații. Trebuie remarcat faptul că procesul de organizare sau reorganizare a securității informațiilor este un proces complex în care programele, personalul și echipamentele interacționează simultan.

Pentru a rezolva problema asigurării securității informațiilor este necesară aplicarea măsurilor legislative, organizatorice și software și hardware, care o vor elimina complet.



Lista literaturii folosite

    Maklakov S.V. Crearea sistemelor informatice cu AllFusion Modeling Suite. – M.: Dialog-MEPhI, 2003. – 432 p.

    www. ashatli-agro.ru

    Legea Federală Nr. 231-F „Cu privire la Informații, Tehnologii Informaționale și Protecția Informației” din 18.12.2006.

    Legea federală a Federației Ruse din 27 iulie 2006 nr. 149-FZ „Cu privire la informații, tehnologii informaționale și protecția informațiilor”



Se încarcă...
Top