2. Sistem antivirus ESET NOD 32 pentru a proteja împotriva virușilor informatici.

Bazele de date sunt actualizate în mod regulat și stațiile de lucru sunt scanate.

3. Backup Windows încorporat pentru a crea arhive.

OS Backup Wizard este un program conceput pentru creație rapidăși restaurați backupul copii ale Windows. Vă permite să creați o copie a întregului Windows sau doar fișiere și foldere individuale.

4. Criptare cu cheie de 2048 biți pentru canal vpn(conectare la biroul companiei de management pentru corespondență și flux de lucru).

Capitolul 2. Îmbunătățirea NIS

2.1 Puncte slabe în sistemul de securitate a informațiilor

Atunci când se analizează problemele legate de securitatea informației, este necesar să se țină cont de specificul acestui aspect al securității, care constă în faptul că securitatea informației este parte integrantă a tehnologiei informației – domeniu care se dezvoltă într-un ritm fără precedent. Nu este atât de important aici solutii separate(legi, cursuri de pregatire, produse software și hardware), care sunt la nivel modern, câte mecanisme de generare de noi soluții care să vă permită să trăiți în ritmul progresului tehnic.

Tehnologii moderne programarea nu vă permite să creați programe fără erori, ceea ce nu contribuie la dezvoltarea rapidă a software-ului securitatea informatiei.

După analiza securității informaționale a întreprinderii, putem concluziona că se acordă o atenție insuficientă securității informațiilor:

Lipsa parolelor de acces la sistem;

Absența parolelor la lucrul cu programul cu 1C: Enterprise, la schimbarea datelor;

Nu există protecție suplimentară a fișierelor și informațiilor (nu există o solicitare elementară de parolă la deschiderea sau modificarea informațiilor din fișiere, ca să nu mai vorbim de instrumentele de criptare a datelor);

Actualizarea neregulată a bazelor de date cu programe antivirus și scanarea stațiilor de lucru;

Un număr mare de documente pe hârtie se află în principal în foldere (uneori fără ele) pe desktop-ul angajatului, ceea ce permite atacatorilor să folosească cu ușurință acest tip de informații în propriile scopuri;

Nu există discuții regulate despre problemele de securitate a informațiilor la nivelul întreprinderii și problemele emergente în acest domeniu;

Nu se organizează o verificare regulată a operabilității sistemelor informaționale ale întreprinderii, depanarea se efectuează numai atunci când eșuează;

Lipsa politicii de securitate a informațiilor;

Lipsa unui administrator de sistem.

Toate cele de mai sus sunt deficiențe foarte importante în asigurarea securității informațiilor unei întreprinderi.

2.2 Scopul și obiectivele sistemului de securitate a informațiilor

Securitatea informației - starea securității resurse informaționale V retele de calculatoareși sistemele întreprinderii de la acces neautorizat, interferențe accidentale sau deliberate cu funcționarea normală a sistemelor, încercări de a distruge componentele acestuia.

Obiectivele securității informațiilor:

prevenirea amenințărilor la adresa securității întreprinderii din cauza acțiunilor neautorizate de distrugere, modificare, distorsionare, copiere, blocare a informațiilor sau a altor forme de interferență ilegală în resursele informaționale și sistemele informaționale;

păstrarea secretelor comerciale prelucrate cu ajutorul tehnologiei informatice;

protecția drepturilor constituționale ale cetățenilor de a păstra secretul personal și confidențialitatea datelor cu caracter personal disponibile în sistemele informaționale.

Pentru a atinge obiectivele de protecție, ar trebui să se asigure o soluție eficientă a următoarelor sarcini:

Protecția împotriva interferenței în procesul de funcționare a întreprinderii de către persoane neautorizate;

protecția împotriva acțiunilor neautorizate cu resursele informaționale ale întreprinderii de către persoane neautorizate și angajați care nu au autoritatea corespunzătoare;

Asigurarea completității, fiabilității și eficienței suportului informațional pentru adoptare decizii de management managementul întreprinderii;

Asigurarea securității fizice mijloace tehniceși software de întreprindere și protejarea acestora de acțiunea surselor naturale și artificiale de amenințări;

înregistrarea evenimentelor care afectează securitatea informațiilor, asigurând controlul deplin și răspunderea asupra implementării tuturor operațiunilor efectuate în întreprindere;

identificarea, evaluarea și prognozarea în timp util a surselor de amenințări la adresa securității informațiilor, a cauzelor și condițiilor care contribuie la prejudicierea intereselor subiecților, la perturbarea funcționării normale și a dezvoltării întreprinderii;

analiza riscurilor implementării amenințărilor la adresa securității informațiilor și evaluarea posibilelor daune, prevenirea consecințelor inacceptabile ale unei încălcări a securității informațiilor întreprinderii, crearea condițiilor pentru minimizarea și localizarea daunelor cauzate;

Asigurarea posibilității de restabilire a stării curente a întreprinderii în cazul încălcării securității informațiilor și eliminarea consecințelor acestor încălcări;

· Crearea și formarea unei politici de securitate informațională a întreprinderii.

2.3 Măsuri și mijloace de îmbunătățire a sistemului de securitate a informațiilor

Pentru atingerea scopurilor stabilite și rezolvarea problemelor este necesară desfășurarea unor activități la nivelurile de securitate a informațiilor.

Nivel administrativ de securitate a informațiilor.

Pentru a forma un sistem de securitate a informațiilor, este necesară elaborarea și aprobarea unei politici de securitate a informațiilor.

O politică de securitate este un set de legi, reguli și norme de comportament menite să protejeze informațiile și resursele asociate acesteia.

Trebuie remarcat faptul că politica în curs de dezvoltare ar trebui să fie în concordanță cu legile și reglementările existente referitoare la organizație, de ex. aceste legi și reglementări trebuie identificate și luate în considerare în elaborarea politicilor.

Cu cât sistemul este mai fiabil, cu atât politica de securitate ar trebui să fie mai strictă și mai diversă.

În funcție de politica formulată, puteți alege mecanisme specifice care asigură securitatea sistemului.

Nivel organizațional de protecție a informațiilor.

Pe baza deficiențelor descrise în secțiunea anterioară, se pot propune următoarele măsuri pentru îmbunătățirea securității informațiilor:

Organizarea muncii pentru formarea personalului în abilitățile de lucru cu noi produse software cu participarea specialiștilor calificați;

Dezvoltarea măsurilor necesare care vizează îmbunătățirea sistemului de securitate economică, socială și informațională a întreprinderii.

Realizați un briefing astfel încât fiecare angajat să își dea seama de importanța și confidențialitatea informațiilor care i-au fost încredințate, ca, de regulă, motivul dezvăluirii informații confidențiale este o cunoaștere insuficientă de către angajați a regulilor de protecție a secretelor comerciale și neînțelegerea (sau neînțelegerea) a necesității respectării lor cu atenție.

Control strict asupra respectării de către angajați a regulilor de lucru cu informații confidențiale;

Monitorizarea respectării regulilor de stocare a documentației de lucru ale angajaților întreprinderii;

Întâlniri programate, seminarii, discuții pe probleme de securitate a informațiilor întreprinderii;

Verificarea și întreținerea regulată (programată) a tuturor sistemelor informaționale și a infrastructurii informaționale pentru operabilitate.

Numiți un administrator de sistem în mod permanent.

Măsuri software și hardware pentru protejarea informațiilor.

Software-ul și hardware-ul sunt unul dintre componente criticeîn implementare protectia informatiilorîntreprindere, prin urmare, pentru a crește nivelul de protecție a informațiilor, este necesar să se introducă și să se aplice următoarele măsuri:

Introducerea parolelor utilizatorului;

Pentru a reglementa accesul utilizatorilor la resursele de informații ale întreprinderii, trebuie să introduceți o listă de utilizatori care vor intra în sistem sub datele de conectare. Folosind sistemul de operare Windows Server 2003 Std instalat pe server, puteți crea o listă de utilizatori cu parolele corespunzătoare. Distribuiți parolele angajaților cu instrucțiuni adecvate pentru utilizarea lor. De asemenea, trebuie să introduceți data de expirare a parolei, după care utilizatorului i se va cere să schimbe parola. Limitați numărul de încercări de conectare cu o parolă incorectă (de exemplu, la trei).

Introducerea unei solicitări de parolă în programul 1C: Enterprise la lucrul cu o bază de date, la schimbarea datelor. Acest lucru se poate face cu instrumente software PC si programe.

Diferențierea accesului la fișiere, directoare, discuri.

Se va realiza diferențierea accesului la fișiere și directoare administrator de sistem, care va permite accesul la unitățile, folderele și fișierele adecvate pentru fiecare utilizator în mod specific.

Scanarea regulată a stațiilor de lucru și actualizarea bazelor de date cu programe antivirus.

Vă permite să detectați și să neutralizați programele rău intenționate, să eliminați cauzele infecțiilor. Este necesar să se efectueze instalarea, configurarea și întreținerea instrumentelor și sistemelor protectie antivirus.

Pentru a face acest lucru, trebuie să configurați programul antivirus pentru a vă scana în mod regulat computerul și a actualiza în mod regulat bazele de date de pe server.

Instalarea firewall-ului Agnitum Outpost FireWall pe computerul server, care blochează atacurile de pe Internet.

Beneficiile utilizării Agnitum Outpost Firewall:

¾ controlează conexiunile computerului dvs. cu alții, blocând hackeri și împiedicând accesul neautorizat la rețea externă și internă.

După analiza securității informaționale a întreprinderii, putem concluziona că se acordă o atenție insuficientă următoarelor puncte în securitatea informațiilor:

– backup neregulat al bazei de date a întreprinderii;

– datele nu sunt salvate pe computerele personale ale angajaților;

– mesaje E-mail stocate pe servere de servicii de poștă pe Internet;

– unii angajați au competențe insuficiente în lucrul cu sisteme automatizate;

angajații au acces la calculatoare personale colegii lor;

- absenta programe antivirus pe unele posturi de lucru;

- Control slab al accesului resursele rețelei;

– Nu există documente de reglementare privind siguranța.

Toate cele de mai sus sunt deficiențe foarte importante în asigurarea securității informațiilor unei întreprinderi.

Analiza de risc

Pericolul unei amenințări este determinat de riscul în cazul implementării cu succes a acesteia. Riscul este vătămarea potențială. Tolerabilitatea riscului înseamnă că prejudiciul în cazul unei amenințări nu va duce la consecințe negative grave pentru proprietarul informațiilor. Organizația se confruntă cu următoarele riscuri:

1. Backup neregulat al bazei de date a întreprinderii;

Consecințe: pierderea datelor privind funcționarea întreprinderii.

2. Nu există copii de rezervă ale datelor pe computerele personale ale angajaților;

Consecințe: Când echipamentul defectează, unele date importante se pot pierde.

3. Mesajele de e-mail sunt stocate pe serverele serviciilor de mail de pe Internet;

4. Unii angajați au competențe insuficiente în lucrul cu sisteme automatizate;

Consecințe: Poate cauza apariția datelor incorecte în sistem.

5. Angajații au acces la computerele personale ale colegilor lor;

6. Lipsa programelor antivirus pe unele stații de lucru;

Consecințe: apariția programelor viruși, software rău intenționat în sistem

7. Diferențierea slabă a drepturilor de acces la resursele rețelei;

Consecințe: din neglijență poate duce la pierderea datelor.

8. Nu există documente normative privind siguranța.

Scopul și obiectivele sistemului de securitate a informațiilor

Scopul principal al sistemului de securitate al întreprinderii este de a preveni deteriorarea activităților sale din cauza furtului de mijloace materiale și tehnice și de documentație; distrugerea bunurilor și valorilor; dezvăluirea, scurgerea și accesul neautorizat la surse de informații confidențiale; încălcări ale mijloacelor tehnice de asigurare a activităților de producție, inclusiv instrumente de informatizare, precum și prevenirea daunelor aduse personalului întreprinderii.

Obiectivele sistemului de securitate sunt:

protecția drepturilor întreprinderii, diviziilor sale structurale și ale angajaților;

· Conservarea și utilizarea eficientă a resurselor financiare, materiale și informaționale;

· Îmbunătățirea imaginii și creșterea profiturilor companiei prin asigurarea calității serviciilor și siguranței clienților.

Sarcinile sistemului de securitate al întreprinderii:

detectarea și eliminarea în timp util a amenințărilor la adresa personalului și a resurselor; cauzele și condițiile care contribuie la provocarea de prejudicii financiare, materiale și morale intereselor întreprinderii, perturbarea funcționării și dezvoltării normale a acesteia;

categorizarea informatiilor acces limitat, și alte resurse - la diferite niveluri de vulnerabilitate (pericol) și supuse conservării;

crearea unui mecanism și a condițiilor de răspuns prompt la amenințările de securitate și manifestările de tendințe negative în funcționarea întreprinderii;

suprimarea eficientă a încălcării resurselor și a amenințărilor la adresa personalului, pe baza unei abordări integrate a securității;

Organizarea și funcționarea sistemului de securitate ar trebui să se bazeze pe următoarele principii:

Complexitate. Aceasta presupune asigurarea securității personalului, resurselor materiale și financiare, a informațiilor împotriva tuturor amenințărilor posibile prin toate mijloacele și metodele legale disponibile, pe tot parcursul ciclu de viațăși în toate modurile de funcționare, precum și capacitatea sistemului de a se dezvolta și îmbunătăți în procesul de funcționare.

Fiabilitate. Diferitele zone de securitate trebuie să fie la fel de fiabile în ceea ce privește probabilitatea realizării unei amenințări.

Promptitudine. Capacitatea sistemului de a fi proactiv pe baza analizei și predicției amenințărilor de securitate și a dezvoltării de măsuri eficiente pentru a le contracara.

Continuitate. Fără întreruperi în funcționarea sistemelor de securitate cauzate de reparații, înlocuiri, întreținere etc.

Legalitate. Dezvoltarea sistemelor de securitate pe baza legislatiei existente.

suficiență rezonabilă. Stabilirea unui nivel acceptabil de securitate, la care probabilitatea și valoarea posibilelor daune să fie combinate cu costurile maxime admise pentru dezvoltarea și funcționarea sistemului de securitate.

Centralizarea managementului. Funcționarea independentă a sistemului de securitate după principii organizatorice, funcționale și metodologice uniforme.

Competență. Sistemul de securitate ar trebui creat și gestionat de persoane care au pregătire profesională suficientă pentru a evalua corect situația și a lua decizii adecvate, inclusiv în condiții de risc crescut.

Cel mai vulnerabil loc din sistemul de securitate poate fi numit angajați ai întreprinderii și software și hardware. În special, datele nu sunt copiate de rezervă pe computerele personale în cazul defecțiunilor echipamentelor, unele date importante pot fi pierdute; actualizare nu rulează sistem de operare MS Windows XP și software-ul utilizat, ceea ce poate duce la accesul neautorizat la informațiile stocate pe computer sau la deteriorarea acestora din cauza erorilor din software; accesul angajaților la resursele de internet nu este controlat, ceea ce poate duce la scurgeri de date; Afaceri corespondență prin e-mail efectuate pe Internet prin canale nesigure, mesajele de e-mail sunt stocate pe serverele serviciilor de corespondență de pe Internet; unii angajați au competențe insuficiente în lucrul cu sistemele automatizate utilizate în academie, ceea ce poate duce la apariția datelor incorecte în sistem; angajații au acces la computerele personale ale colegilor lor, ceea ce din neglijență poate duce la pierderea datelor; toți membrii facultății au acces la arhivă, drept urmare unele dosare personale pot fi pierdute sau căutarea lor poate dura mult timp; nu există reguli de siguranță.

Scopul principal al sistemului de securitate a informațiilor este de a asigura funcționarea stabilă a unității, de a preveni amenințările la adresa securității acesteia, de a proteja interesele legitime ale întreprinderii de încălcări ilegale, de a preveni dezvăluirea, pierderea, scurgerea, denaturarea și distrugerea informațiilor de serviciu și personale. informare, asigurând activitățile normale de producție ale tuturor departamentelor unității.

Un alt obiectiv al sistemului de securitate a informațiilor este îmbunătățirea calității serviciilor oferite și a garanțiilor de securitate.

Sarcinile formării unui sistem de securitate a informațiilor într-o organizație sunt: ​​integritatea informațiilor, fiabilitatea informațiilor și confidențialitatea acesteia. Când sarcinile sunt finalizate, obiectivul va fi realizat.

Crearea sistemelor de securitate a informațiilor în SI și IT se bazează pe următoarele principii:

O abordare sistematică a construirii unui sistem de protecție, ceea ce înseamnă combinația optimă de proprietăți organizaționale, software, hardware, fizice și de altă natură interconectate, confirmată de practica creării de sisteme de protecție interne și externe și utilizate în toate etapele ciclului tehnologic de prelucrare a informațiilor .

Principiul dezvoltării continue a sistemului. Acest principiu, care este unul dintre cele fundamentale pentru sistemele informatice informatice, este și mai relevant pentru NIS. Modalitățile de implementare a amenințărilor la adresa informațiilor în IT sunt în mod constant îmbunătățite și, prin urmare, asigurarea securității IP nu poate fi un act unic. Acesta este un proces continuu, care constă în fundamentarea și implementarea celor mai raționale metode, metode și modalități de îmbunătățire a ISS, monitorizare continuă, identificarea blocajelor și punctelor slabe ale acestuia, a potențialelor canale de scurgere de informații și a noilor metode de acces neautorizat.

Separarea și minimizarea competențelor de acces la informațiile prelucrate și la procedurile de prelucrare, i.e. oferirea atât utilizatorilor, cât și angajaților SI cu un minim de puteri strict definite, suficiente pentru ca aceștia să își îndeplinească atribuțiile oficiale.

Completitudinea controlului și înregistrării încercărilor de acces neautorizat, de ex. necesitatea stabilirii cu exactitate a identitatii fiecarui utilizator si consemnarii actiunilor acestuia in vederea unei eventuale investigatii, precum si imposibilitatea efectuarii oricarei operatiuni de prelucrare a informatiilor in IT fara inregistrarea prealabila a acestuia.

Asigurarea fiabilității sistemului de protecție, i.e. imposibilitatea reducerii nivelului de fiabilitate în cazul defecțiunilor, defecțiunilor, acțiunilor deliberate ale unui hacker sau erorilor neintenționate ale utilizatorilor și personalului de întreținere a sistemului.

Asigurarea controlului asupra funcționării sistemului de protecție, i.e. crearea de mijloace și metode de monitorizare a performanței mecanismelor de protecție.

Furnizarea diferitelor mijloace de combatere malware.

Asigurarea fezabilității economice a utilizării sistemului de protecție, care se exprimă în excesul de posibile daune aduse SI și IT din implementarea amenințărilor peste costul dezvoltării și exploatării SSI.

Măsurile de protecție luate ar trebui să fie adecvate probabilității de implementare de acest tip amenințarea și prejudiciul potențial care ar putea fi cauzat dacă amenințarea s-ar materializa (inclusiv costurile de apărare împotriva acesteia).

Trebuie avut în vedere faptul că multe măsuri de protecție necesită resurse de calcul suficient de mari, care la rândul lor afectează semnificativ procesul de prelucrare a informațiilor. Prin urmare, o abordare modernă a soluționării acestei probleme este aplicarea principiilor managementului situațional al securității resurselor informaționale în sistemele de control automatizate. Esența acestei abordări constă în faptul că nivelul necesar de securitate a informațiilor este stabilit în conformitate cu situația care determină raportul dintre valoarea informațiilor prelucrate, costuri (scăderea performanței sistemelor de control automatizate, memorie cu acces aleator etc.), care sunt necesare pentru atingerea acestui nivel, precum și eventualele pierderi totale (materiale, morale etc.) din denaturarea și utilizarea neautorizată a informațiilor.

Caracteristicile necesare de protecție a resurselor informaționale sunt determinate în cursul planificării situaționale în timpul pregătirii directe a procesului tehnologic de prelucrare securizată a informațiilor, ținând cont de situația actuală, precum și (într-un volum redus) în timpul procesului de prelucrare. Atunci când alegeți măsurile de protecție, trebuie să țineți cont nu numai de costurile directe ale achiziționării de echipamente și programe, ci și de costurile de introducere de noi produse, de formare și recalificare a personalului. O circumstanță importantă este compatibilitatea noului instrument cu structura hardware și software existentă a obiectului.

Experiența străină în domeniul protecției proprietății intelectuale și experiența internă în protecția secretelor de stat arată că numai protecția cuprinzătoare poate fi eficientă, combinând astfel de domenii de protecție precum cele juridice, organizaționale și inginerești.

Direcția juridică prevede formarea unui set de acte legislative, documente de reglementare, reglementări, instrucțiuni, îndrumări, ale căror cerințe sunt obligatorii în sfera activităților lor în sistemul de securitate a informațiilor.

Direcția organizațională- aceasta este reglementarea activităților de producție și a relației dintre artiștii executanți pe bază legală, astfel încât dezvăluirea, scurgerea și accesul neautorizat la informații confidențiale devin imposibile sau îngreunate semnificativ de măsurile organizatorice.

Potrivit experților, măsurile organizatorice joacă un rol important în crearea unui mecanism fiabil de protecție a informațiilor, întrucât posibilitatea utilizării neautorizate a informațiilor confidențiale se datorează în mare măsură nu aspectelor tehnice, ci acțiunilor rău intenționate, neglijenței, neglijenței și neglijenței utilizatorilor sau a securității. personal.

Activitățile organizatorice includ:

Activități desfășurate în proiectarea, construcția și echiparea clădirilor și spațiilor de birouri și industriale;

Activitati desfasurate in selectia personalului;

Organizarea și întreținerea unui control fiabil al accesului, securitatea spațiilor și a teritoriului, controlul asupra vizitatorilor;

Organizarea stocării și utilizării documentelor și purtătorilor de informații confidențiale;

Organizarea securității informațiilor;

Organizarea de formare regulată a angajaților.

Una dintre componentele principale ale securității informaționale organizaționale a companiei este Serviciul de Securitate Informațională (ISS - organismul de management al sistemului de securitate a informațiilor). Este de la pregătirea profesională a angajaților serviciului de securitate a informațiilor, prezența în arsenalul lor mijloace moderne managementul securității depinde în mare măsură de eficacitatea măsurilor de protecție a informațiilor. Structura, mărimea și componența personalului acestuia sunt determinate de nevoile reale ale companiei, de gradul de confidențialitate al informațiilor acesteia și de starea generală de securitate.

Scopul principal al funcționării ISS, folosind măsuri organizatorice și software și hardware, este evitarea sau cel puțin minimizarea posibilității încălcării politicii de securitate, în ultimă instanță, pentru a sesiza și elimina la timp consecințele încălcării.

Pentru a asigura funcționarea cu succes a SIS, este necesar să se determine drepturile și obligațiile acestuia, precum și regulile de interacțiune cu alte unități în problemele de protecție a informațiilor din unitate. Numărul de servicii ar trebui să fie suficient pentru a îndeplini toate funcțiile care îi sunt atribuite. Este de dorit ca personalul serviciului să nu aibă atribuții legate de funcționarea obiectului de protecție. Serviciul de securitate a informatiilor trebuie sa fie asigurat cu toate conditiile necesare indeplinirii functiilor sale.

miez inginerie si directie tehnica sunt instrumente software și hardware de securitate a informațiilor, care includ inginerie mecanică, electromecanică, electronică, optică, laser, radio și radio, radare și alte dispozitive, sisteme și structuri concepute pentru a asigura securitatea și protecția informațiilor.

Sub software securitatea informațiilor este înțeleasă ca un set programe speciale, realizând funcțiile de protecție a informațiilor și modul de funcționare.

Setul format de măsuri legale, organizatorice și de inginerie are ca rezultat o politică de securitate adecvată.

Politica de securitate determină apariția sistemului de securitate a informațiilor sub forma unui set de norme legale, măsuri organizaționale (legale), un set de instrumente software și hardware și soluții procedurale care vizează contracararea amenințărilor pentru eliminarea sau minimizarea posibilelor consecințe ale informațiilor. impacturi. După adoptarea uneia sau alteia versiuni a politicii de securitate, este necesar să se evalueze nivelul de securitate al sistemului informațional. Desigur, evaluarea securității se realizează în funcție de un set de indicatori, dintre care principalii sunt costul, eficiența și fezabilitatea.

Evaluarea opțiunilor de construire a unui sistem de securitate a informațiilor este o sarcină destul de complicată, care necesită utilizarea metodelor matematice moderne pentru evaluarea performanței multiparametrice. Acestea includ: metoda de analiză a ierarhiilor, metodele expertului, metoda concesiunilor succesive și o serie de altele.

Atunci când sunt luate măsurile preconizate, este necesar să se verifice eficacitatea acestora, adică să se asigure că riscurile reziduale au devenit acceptabile. Abia atunci poate fi stabilită data următoarei reevaluări. În caz contrar, va trebui să analizați greșelile făcute și să efectuați o a doua sesiune de analiză a vulnerabilităților, ținând cont de modificările din sistemul de protecție.

Scenariul posibil generat al acțiunilor intrusului necesită verificarea sistemului de securitate a informațiilor. Acest test se numește „testare de penetrare”. Scopul este de a oferi asigurarea că nu există modalități ușoare pentru un utilizator neautorizat de a ocoli mecanismele de securitate.

Unul dintre moduri posibile atestări de securitate a sistemului - invitarea hackerilor să pirateze fără notificare prealabilă personalului rețelei. Pentru aceasta este alocat un grup de două sau trei persoane cu pregătire profesională înaltă. Hackerii sunt dotați cu un sistem automatizat protejat, iar grupul încearcă să găsească vulnerabilități timp de 1-3 luni și să dezvolte instrumente de testare pe baza acestora pentru a ocoli mecanismele de protecție. Hackerii angajați trimit un raport confidențial cu privire la rezultatele muncii, cu o evaluare a nivelului de disponibilitate a informațiilor și recomandări pentru îmbunătățirea protecției.

Alături de această metodă, sunt utilizate instrumente de testare software.

La scenă intocmirea unui plan de protectieîn conformitate cu politica de securitate aleasă, se elaborează un plan de implementare a acesteia. Planul de protecție este un document care pune în aplicare sistemul de protecție a informațiilor, care este aprobat de șeful organizației. Planificarea nu este doar despre cea mai bună utilizare toate posibilitățile de care dispune compania, inclusiv resursele alocate, dar și cu prevenirea acțiunilor eronate care ar putea duce la scăderea eficacității măsurilor luate pentru protejarea informațiilor.

Planul de securitate a informațiilor site-ului ar trebui să includă:

Descrierea sistemului protejat (principalele caracteristici ale obiectului protejat: scopul obiectului, lista sarcinilor de rezolvat, configurația, caracteristicile și amplasarea hardware-ului și software-ului, lista categoriilor de informații (pachete, fișiere, seturi și baze de date în care sunt conținute) care urmează să fie protejate, precum și cerințele pentru asigurarea accesului, confidențialității, integrității acestor categorii de informații, o listă a utilizatorilor și autoritatea acestora de a accesa resursele sistemului etc.);

Scopul protejării sistemului și modalități de asigurare a securității sistemului automatizat și a informațiilor care circulă în acesta;

Lista amenințărilor semnificative la securitate sistem automatizat de care este necesară protecția și căile cele mai probabile de vătămare;

Politica de securitate a informațiilor;

Planul de finanțare și diagrama functionala sisteme de securitate a informațiilor din unitate;

Specificarea instrumentelor de securitate a informațiilor și estimarea costurilor pentru implementarea acestora;

Plan calendaristic pentru realizarea măsurilor organizatorice și tehnice de protecție a informațiilor, procedura de punere în aplicare a mijloacelor de protecție;

Reguli de bază care reglementează activitățile personalului în probleme de asigurare a securității informațiilor unității (atribuții speciale ale funcționarilor care deservesc sistemul automatizat);

Procedura de revizuire a planului și de modernizare a mijloacelor de protecție.

Planul de protecție este revizuit atunci când sunt modificate următoarele componente ale obiectului:

Arhitectură Sistem informatic(conectarea altor rețele locale, schimbarea sau modificarea echipamentelor informatice sau a software-ului folosit);

Amplasarea teritorială a componentelor sistemului automatizat.

În cadrul planului de protecție, este necesar să existe un plan de acțiune pentru personalul aflat în situații critice, de ex. planul de aprovizionare muncă continuă și recuperarea informațiilor. Ea reflectă:

Scopul asigurării continuității procesului de funcționare a sistemului automatizat, restabilirea performanței acestuia și modalități de realizare a acestuia;

Lista și clasificarea posibilelor situații de criză;

Cerințe, măsuri și mijloace pentru a asigura funcționarea și restabilirea continuă a procesului de prelucrare a informațiilor (procedura de creare, stocare și utilizare copii de rezervă informarea, întreținerea arhivelor curente, pe termen lung și de urgență; compoziția echipamentului de rezervă și procedura de utilizare a acestuia etc.);

Responsabilitati si procedura pentru actiunile diverselor categorii de personal ale sistemului in situatii de criza, in cazul lichidarii consecintelor acestora, minimizarea prejudiciului cauzat si in restabilirea functionarii normale a sistemului.

Dacă o organizație face schimburi documente electronice cu partenerii în executarea comenzilor unice, este necesar să se includă în planul de protecție un acord privind procedura de organizare a schimbului de documente electronice, care reflectă următoarele aspecte:

Separarea răspunderii subiecților care participă la procesele de schimb electronic de documente;

Stabilirea procedurii de întocmire, executare, transmitere, acceptare, verificare a autenticității și integrității documentelor electronice;

Procedura de generare, certificare și distribuire a informațiilor cheie (chei, parole etc.);

Procedura de solutionare a litigiilor in caz de conflicte.

Planul de securitate a informațiilor este un pachet de documente textuale și grafice, prin urmare, împreună cu componentele de mai sus ale acestui pachet, poate include:

Regulamentul privind secretul comercial, care definește lista informațiilor care constituie secret comercial și procedura de determinare a acestuia, precum și îndatoririle funcționarilor de a proteja secretele comerciale;

Reglementări privind protecția informațiilor, care reglementează toate domeniile de activitate pentru implementarea politicii de securitate, precum și o serie de instrucțiuni suplimentare, reguli, reglementări care corespund specificului obiectului de protecție.

Implementarea planului de protectie (managementul sistemului de protectie) presupune elaborarea documentelor necesare, încheierea de contracte cu furnizorii, instalarea și configurarea echipamentelor etc. După formarea sistemului de securitate a informațiilor, se rezolvă sarcina utilizării efective a acestuia, adică managementul securității.

Managementul este un proces de influență intenționată asupra unui obiect, desfășurat pentru a organiza funcționarea acestuia conform unui program dat.

Managementul securității informațiilor ar trebui să fie:

Rezistent la interferența activă a intrusului;

Continuă, oferind un impact constant asupra procesului de protecție;

Ascuns, nepermițând dezvăluirea organizării managementului securității informațiilor;

Operațional, oferind posibilitatea de a răspunde în timp util și adecvat la acțiunile intrușilor și de a implementa deciziile de management până la o dată dată.

În plus, deciziile privind securitatea informațiilor ar trebui să fie justificate în ceea ce privește luarea în considerare cuprinzătoare a condițiilor de îndeplinire a sarcinii, aplicarea diverse modele, sarcini de calcul și de informare, sisteme expert, experiență și orice alte date care cresc fiabilitatea informațiilor și deciziilor inițiale.

Un indicator al eficacității managementului securității informațiilor este timpul ciclului de control pentru o anumită calitate a deciziilor. Ciclul de management include colectarea informațiilor necesare pentru evaluarea situației, luarea deciziilor, formarea comenzilor adecvate și executarea acestora. Ca criteriu de eficiență se poate utiliza timpul de răspuns al sistemului de securitate a informațiilor la o încălcare, care nu trebuie să depășească timpul de uzură a informațiilor în funcție de valoarea acesteia.

Așa cum arată dezvoltarea unor sisteme de control automatizate reale, niciuna dintre metodele (măsurile, mijloacele și activitățile) de asigurare a securității informațiilor nu este absolut fiabilă, iar efectul maxim se obține atunci când toate sunt combinate într-un sistem integral de protecție a informațiilor. Doar combinația optimă a măsurilor organizatorice, tehnice și de program, precum și atenția și controlul constant asupra menținerii la zi a sistemului de protecție vor face posibilă asigurarea cu cea mai mare eficiență a unei sarcini permanente.

Bazele metodologice pentru asigurarea securității informațiilor sunt recomandări destul de generale bazate pe experiența mondială în creare sisteme similare. Sarcina fiecărui specialist în securitatea informațiilor este să adapteze prevederile abstracte la domeniul lor specific (organizație, bancă), care are întotdeauna propriile particularități și subtilități.

O analiză a experienței interne și externe demonstrează în mod convingător necesitatea creării unui sistem integrat de securitate a informațiilor pentru o companie care să facă legătura între măsurile operaționale, operaționale, tehnice și organizaționale de protecție. Mai mult, sistemul de securitate ar trebui să fie optim din punct de vedere al raportului dintre costuri și valoarea resurselor protejate. Sistemul are nevoie de flexibilitate și adaptare la factorii de mediu în schimbare rapidă, condițiile organizaționale și sociale din instituție. Este imposibil să se atingă un astfel de nivel de securitate fără a analiza amenințările existente și posibilele canale de scurgere de informații, precum și fără a dezvolta o politică de securitate a informațiilor la nivelul întreprinderii. Ca urmare, trebuie creat un plan de protecție care să pună în aplicare principiile stabilite în politica de securitate.

Dar există și alte dificultăți și „capcane” cărora trebuie neapărat să le acordați atenție. Acestea sunt probleme care au fost identificate în practică și sunt slab susceptibile de formalizare: probleme de natură socială și politică care nu sunt de natură tehnică sau tehnologică, care sunt rezolvate într-un fel sau altul.

Problema 1. Lipsa de înțelegere în rândul personalului și managerilor din rândurile mijlocii și inferioare a necesității de a lucra pentru îmbunătățirea nivelului de securitate a informațiilor.

La această treaptă a scării manageriale, de regulă, sarcinile strategice cu care se confruntă organizația nu sunt vizibile. În același timp, problemele de securitate pot provoca chiar iritații - creează dificultăți „inutile”.

Următoarele argumente sunt adesea prezentate împotriva lucrului și luării de măsuri pentru a asigura securitatea informațiilor:

Apariția unor restricții suplimentare pentru utilizatorii finali și specialiștii departamentelor, ceea ce le face dificilă utilizarea sistemului de organizare automatizată;

Necesitatea unor costuri materiale suplimentare atât pentru realizarea unor astfel de lucrări, cât și pentru extinderea personalului de specialiști care se ocupă de problema securității informației.

Această problemă este una dintre cele principale. Toate celelalte întrebări acționează într-un fel sau altul ca consecințe. Pentru a o depăși, este importantă rezolvarea următoarelor sarcini: în primul rând, îmbunătățirea abilităților personalului în domeniul securității informațiilor prin organizarea de întâlniri și seminarii speciale; în al doilea rând, creșterea nivelului de conștientizare a personalului, în special, cu privire la sarcinile strategice cu care se confruntă organizația.

Problema 2 Confruntare între serviciul de automatizare și serviciul de securitate al organizațiilor.

Această problemă se datorează tipului de activitate și sferei de influență, precum și responsabilității acestor structuri în cadrul întreprinderii. Implementarea sistemului de protecție este în mâinile specialiștilor tehnici, iar responsabilitatea pentru securitatea acestuia revine serviciului de securitate. Specialistii in securitate vor sa limiteze cu orice pret cu ajutorul firewall-uri tot traficul. Dar oamenii care lucrează în departamentele de automatizare nu sunt dispuși să facă față problemelor suplimentare asociate cu întreținerea uneltelor speciale. Astfel de neînțelegeri nu au cel mai bun efect asupra nivelului de securitate al întregii organizații.

Această problemă, ca și majoritatea celor similare, este rezolvată prin metode pur manageriale. Este important, în primul rând, să existe un mecanism de soluționare a unor astfel de dispute în structura organizatorică a companiei. De exemplu, ambele servicii pot avea un singur șef care va rezolva problemele interacțiunii lor. În al doilea rând, documentația tehnologică și organizațională ar trebui să împartă în mod clar și competent sferele de influență și responsabilitatea departamentelor.

Problema 3. Ambiții și relații personale la nivelul managerilor de nivel mediu și superior.

Relațiile dintre lideri pot fi diferite. Uneori, atunci când efectuează lucrări privind studiul securității informațiilor, unul sau altul oficial manifestă un interes excesiv față de rezultatele acestor lucrări. Într-adevăr, cercetarea este un instrument suficient de puternic pentru a-și rezolva problemele particulare și a-și satisface ambițiile. Concluziile și recomandările înregistrate în raport sunt folosite ca un plan pentru acțiunile ulterioare ale uneia sau alteia legături. O interpretare „liberă” a concluziilor raportului este posibilă și în combinație cu problema 5, descrisă mai jos. Această situație este un factor extrem de nedorit, deoarece denaturează sensul muncii și necesită identificarea și eliminarea în timp util la nivelul conducerii de vârf a întreprinderii. Cea mai bună opțiune relațiile de afaceri sunt atunci când interesele organizației sunt puse în prim plan, și nu personale.

Problema 4. Nivel scăzut de implementare a programului de acțiune planificat pentru crearea unui sistem de securitate a informațiilor.

Aceasta este o situație destul de banală când scopurile și obiectivele strategice se pierd la nivelul execuției. Totul poate începe perfect. Directorul General decide asupra necesității îmbunătățirii sistemului de securitate a informațiilor. Pentru realizarea auditului este angajată o firmă de consultanță independentă sistem existent protectia informatiilor. La finalizare, se generează un raport care cuprinde toate recomandările necesare pentru protejarea informațiilor, finalizarea fluxului de lucru existent în domeniul securității informațiilor, introducerea mijloacelor tehnice de protecție a informațiilor și măsuri organizatorice și susținerea în continuare a sistemului creat. Planul de protecție include măsuri pe termen scurt și pe termen lung. Recomandările ulterioare sunt transferate spre execuție unuia dintre departamente. Și aici este important ca aceștia să nu se înece în mlaștina birocrației, ambițiilor personale, lenețea personalului și alte o duzină de motive. Antreprenorul poate fi slab informat, nu este suficient de competent sau pur și simplu nu este interesat să facă lucrarea. Este important ca CEO-ul să monitorizeze implementarea planului planificat, pentru a nu pierde, în primul rând, fondurile investite în securitate la etapa inițială, iar în al doilea rând, pentru a nu suferi pierderi ca urmare a lipsei acestei securități. .

Problema 5. Calificarea scăzută a specialiștilor în securitatea informațiilor.

Acest aspect nu poate fi considerat un obstacol serios dacă nu reprezintă un obstacol în calea creării unui sistem de securitate a informațiilor. Cert este că planul de protecție, de regulă, include un astfel de eveniment precum pregătirea avansată a specialiștilor în domeniul protecției informațiilor din companie. Seminarii despre bazele organizării securității informațiilor pot fi organizate pentru specialiști din alte servicii. Este necesar să se evalueze corect calificările reale ale angajaților implicați în implementarea planului de protecție. Adesea, concluziile incorecte sau incapacitatea de a aplica în practică metodele de protecție duc la dificultăți în implementarea măsurilor recomandate. Cu un indiciu de astfel de circumstanțe, cea mai corectă cale de ieșire ar fi îmbunătățirea competențelor specialiștilor în securitatea informațiilor în centrele de formare special create pentru aceasta.

Astfel, activitățile practice în domeniul îmbunătățirii securității economice și informaționale demonstrează clar că crearea unui sistem de securitate a informațiilor în viața reală depinde în mare măsură de soluționarea în timp util a acestor probleme. Cu toate acestea, experiența acumulată arată că toate problemele discutate pot fi rezolvate cu succes dacă reprezentanții clientului și ai companiei executante lucrează îndeaproape împreună. Principalul lucru este să realizați importanța efectuării unei astfel de lucrări, să identificați amenințările existente în timp util și să aplicați contramăsuri adecvate, care, de regulă, sunt specifice fiecărei întreprinderi în particular. Prezența dorinței și oportunităților este o condiție suficientă pentru munca fructuoasă, al cărei scop ar fi crearea unui sistem integrat pentru asigurarea securității organizației.

Anterior

Trimiteți-vă munca bună în baza de cunoștințe este simplu. Utilizați formularul de mai jos

Studenții, studenții absolvenți, tinerii oameni de știință care folosesc baza de cunoștințe în studiile și munca lor vă vor fi foarte recunoscători.

Găzduit la http://www.allbest.ru/

PROIECT DE CURS

La disciplina „Securitatea informațiilor”

Pe subiect

„Îmbunătățirea sistemului de securitate a informațiilor pe

întreprindere SRL "Cuptor"

Introducere

Apropo de securitatea informației, în prezent, de fapt, se referă la securitatea computerelor. Într-adevăr, informațiile din medii electronice joacă un rol din ce în ce mai important în societatea modernă. Vulnerabilitatea unor astfel de informații se datorează mai multor factori: volume uriașe, multipunct și posibil anonimat al accesului, posibilitatea „sabotajului informațional”... Toate acestea fac ca sarcina de a asigura securitatea informațiilor plasate în mediu informatic, o problemă mult mai dificilă decât, să zicem, păstrarea secretului corespondenței poștale tradiționale.

Dacă vorbim de securitatea informațiilor stocate pe suporturi tradiționale (hârtie, printuri foto etc.), atunci siguranța acesteia se realizează prin respectarea măsurilor protectie fizica(adică, protecție împotriva intrării neautorizate în zona de stocare media). Alte aspecte ale protecției unor astfel de informații sunt legate de dezastrele naturale și dezastrele provocate de om. Astfel, conceptul de securitate a informațiilor „calculatoare” în ansamblu este mai larg decât securitatea informațiilor în raport cu mediile „tradiționale”.

Dacă vorbim despre diferențe de abordări ale soluționării problemei securității informațiilor la diferite niveluri (de stat, regional, nivel al unei organizații), atunci astfel de diferențe pur și simplu nu există. Abordarea asigurării securității Sistemului automatizat de stat „Alegeri” nu diferă de abordarea asigurării securității retea localaîntr-o firmă mică. Prin urmare, principiile asigurării securității informațiilor din această lucrare sunt luate în considerare pe exemple de activități ale unei organizații separate.

Scopul proiectului de curs este de a îmbunătăți sistemul de securitate a informațiilor al Oven LLC. sarcini termen de hârtie va fi - analiza Oven LLC, resursele sale, structura și sistemul de securitate a informațiilor existent la întreprindere și căutarea metodelor de îmbunătățire a acestuia.

În prima etapă va fi efectuată o analiză a sistemului de securitate a informațiilor. Din rezultatele obținute, în a doua etapă, se va căuta metode de îmbunătățire a protecției informațiilor, dacă există părţile slabeîn acest sistem.

1. Analiza sistemului de securitate informatică la Oven LLC

1.1 Caracteristicile întreprinderii. Structura organizatorică a întreprinderii. Serviciu care se ocupă cu resursele informaționale și protecția acestora

Denumirea completă a întreprinderii este Societatea cu răspundere limitată „Berbec”. Numele prescurtat al companiei este Oven LLC. Mai departe în textul Societatea. Compania nu are sucursale și reprezentanțe, singurul său centru este situat în regiunea Perm, districtul Suksunsky, satul Martyanovo.

Societatea a fost înființată în 1990 ca o fermă mică și a avut trei fondatori. După reorganizarea fermei în economie țărănească în 1998, a rămas singurul fondator. Ultima reorganizare a avut loc în aprilie 2004. De la 1 aprilie, întreprinderea a devenit cunoscută sub numele de Aries Limited Liability Company.

Activitatea principală a companiei este cultivarea produselor agricole, material semințelor, comercializarea produselor agricole. Astăzi, în Rusia, compania ocupă locul al treisprezecelea între fermele de cartofi și primul pe teritoriul Perm.

Adresă legală: Rusia, 617553, Teritoriul Perm, Suksunsky, satul Martyanovo.

Obiectivele intreprinderii in ansamblu:

· Primirea profitului din activitatea principală.

· Creșterea competitivității produselor și extinderea piețelor de vânzare.

· Concentrarea capitalului și creșterea resurselor investiționale pentru implementarea de investiții și alte proiecte.

Misiunea companiei:

1. Continuați să ocupați o poziție de lider pe piață.

2. Crearea unei ferme de semințe.

Structura organizatorică a întreprinderii.

Compania folosește o structură liniar-funcțională. Într-o structură liniar-funcțională se formează o ierarhie de servicii. În această structură, șefii unităților funcționale au dreptul de a da ordine următorului nivel de conducere pe probleme funcționale.

Structura întreprinderii este prezentată în figura 1.

Găzduit la http://www.allbest.ru/

Găzduit la http://www.allbest.ru/

Figura 1 - Structura organizatorică a Aries LLC

1.2 Analiza și caracterizarea resurselor informaționale ale întreprinderii

Astăzi, toată lumea este preocupată de securitatea informațiilor corporative. Programele individuale și complexe întregi concepute pentru a proteja datele devin din ce în ce mai populare. Cu toate acestea, nimeni nu se gândește la faptul că poți avea cât îți place. protecţie fiabilă dar tot pierde Informații importante. Pentru că unul dintre angajații tăi îl va considera nesemnificativ și îl va expune public. Și dacă ești sigur că ești protejat de asta, atunci te înșeli foarte mult. La prima vedere, această situație pare ceva ireal, ca o glumă. Cu toate acestea, acest lucru se întâmplă și se întâmplă des. Într-adevăr, personalul tehnic, care în marea majoritate a cazurilor se ocupă de probleme de securitate a informațiilor, nu înțeleg întotdeauna ce date ar trebui să fie ascunse și care nu. Pentru a înțelege, trebuie să descompune toate informațiile în tipuri diferite, care sunt de obicei numite tipuri și definesc clar granițele dintre ele.

De altfel, toate companiile specializate în furnizarea de sisteme complexe de asigurare a securității informațiilor informatice țin cont de împărțirea datelor în tipuri diferite. Aici trebuie să fii atent. Cert este că produsele occidentale urmează standardele internaționale (în special, ISO 17799 și unele altele). Potrivit acestora, toate datele sunt împărțite în trei tipuri: deschise, confidențiale și strict confidențiale. Între timp, în țara noastră, conform legislației în vigoare, se folosește o distincție ușor diferită: informații deschise, pentru uz intern și confidențiale.

Deschis înseamnă orice informație care poate fi transferată în mod liber altor persoane, precum și plasată în mass-media. Cel mai adesea, este prezentat sub formă de comunicate de presă, discursuri la conferințe, prezentări și expoziții, elemente separate (în mod firesc, pozitive) de statistică. În plus, acest vultur include toate datele obținute din surse externe deschise. Și, desigur, informațiile destinate unui site web corporativ sunt, de asemenea, considerate publice.

La prima vedere, se pare că informațiile deschise nu au nevoie de protecție. Cu toate acestea, oamenii uită că datele nu pot fi doar furate, ci și înlocuite. Prin urmare, menținerea integrității informațiilor deschise este o sarcină foarte importantă. În caz contrar, în loc de un comunicat de presă pregătit în prealabil, acesta se poate dovedi a fi de neînțeles. Sau Pagina principală site-ul corporativ va fi înlocuit cu inscripții ofensatoare. Prin urmare, și informațiile publice trebuie protejate.

Ca orice altă întreprindere, societatea are informații deschise conținute în principal în prezentări prezentate potențialilor investitori.

Informațiile pentru uz intern includ orice date care sunt utilizate de angajați în îndeplinirea sarcinilor lor profesionale. Dar asta nu este tot. Această categorie include toate informațiile care sunt schimbate între ele de către diferite departamente sau sucursale pentru a le asigura performanța. Și, în sfârșit, ultimul tip de date care se încadrează în această categorie de date sunt informațiile obținute din surse deschise și supuse prelucrării (structurare, editare, clarificare).

De fapt, toate aceste informații, chiar dacă ajung în mâinile concurenților sau intrușilor, nu pot cauza prejudicii serioase companiei. Cu toate acestea, unele daune de la răpirea ei pot fi încă. Să presupunem că angajații au adunat știri pentru șeful lor pe un subiect de interes pentru el, printre care au ales cele mai importante mesaje și le-au marcat. Un astfel de rezumat este în mod clar informații de uz intern (informații obținute din surse deschise și supuse prelucrării). La prima vedere, se pare că concurenții, după ce l-au achiziționat, nu vor putea beneficia de el. Dar, de fapt, ei pot ghici în ce direcție este interesat conducerea companiei tale și, cine știe, s-ar putea chiar să reușească să te devanseze. Prin urmare, informațiile pentru uz intern trebuie protejate nu numai de înlocuire, ci și de accesul neautorizat. Adevărat, în marea majoritate a cazurilor, vă puteți limita la securitatea rețelei locale, deoarece nu este rentabil din punct de vedere economic să cheltuiți sume mari pentru asta.

Acest tip de informații sunt prezentate și la întreprindere, care sunt cuprinse în diferite tipuri de rapoarte, liste, extrase etc.

Informații confidențiale - informații documentate, accesul la care este restricționat conform legii Federația Rusă, care nu este disponibilă publicului și, dacă este dezvăluită, este de natură să prejudicieze drepturile și interesele protejate legal ale persoanei care l-a furnizat. Lista datelor referitoare la acest gât este stabilită de stat. Pe acest moment este următoarea: informații personale, informații care constituie secret comercial, oficial sau profesional, informații care constituie un secret al anchetei și muncii de birou. În plus, recent, datele privind esența unei invenții sau descoperiri științifice înainte de publicarea lor oficială au fost clasificate drept confidențiale.

Informațiile confidențiale dintr-o întreprindere includ date precum: plan de dezvoltare, lucrări de cercetare, documentație tehnică, desene, distribuție a profitului, contracte, rapoarte, resurse, parteneri, negocieri, contracte, precum și informații de natură managerială și de planificare.

Compania are aproximativ douăzeci de PC-uri. În ceea ce privește prezența unei rețele locale într-o întreprindere, PC-urile din societate nu sunt unite într-o singură rețea. În plus, toate computerele sunt echipate cu un set standard programe de birouȘi programe de contabilitate. Trei computere au acces la Internet prin miniportul WAN. În același timp, niciun computer din întreprindere nu este echipat cu un program antivirus. Schimbul de informații se realizează prin medii: unități flash, dischete. Toate informațiile despre mediile „tradiționale” se află în dulapuri care nu sunt încuiate. Cele mai importante documente sunt păstrate într-un seif, ale cărui chei sunt păstrate de către secretară.

securitatea protecției informațiilor

1.3 Amenințări și mijloace de protecție a informațiilor din întreprindere

Amenințare la securitatea informațiilor - un set de condiții și factori care creează un pericol potențial sau real asociat cu scurgerea de informații și/sau influențe neautorizate și/sau neintenționate asupra acesteia

Conform metodelor de influențare a obiectelor de securitate a informațiilor, amenințările relevante pentru societate sunt supuse următoarei clasificări: informaționale, software, fizice, organizaționale și juridice.

Amenințările informaționale includ:

Acces neautorizat la resursele informaționale;

Furtul de informații din arhive și baze de date;

Încălcarea tehnologiei de prelucrare a informațiilor;

colectarea și utilizarea ilegală a informațiilor;

Amenințările software includ:

viruși informatici și programe malware;

Amenințările fizice includ:

Distrugerea sau distrugerea facilitatilor de prelucrare si comunicare a informatiilor;

Furtul de medii de stocare;

Impactul asupra personalului

Amenințările organizaționale și juridice includ:

Achiziționarea de tehnologii și mijloace de informare imperfecte sau învechite;

Instrumentele de securitate a informațiilor sunt un set de dispozitive și dispozitive de inginerie, electrice, electronice, optice și alte dispozitive, instrumente și sisteme tehnice, precum și alte elemente reale utilizate pentru rezolvarea diferitelor probleme de protecție a informațiilor, inclusiv prevenirea scurgerilor și asigurarea securității informațiilor protejate.

Luați în considerare instrumentele de securitate a informațiilor utilizate în întreprindere. Sunt patru în total (hardware, software, mixt, organizatoric).

Protecție hardware- incuietori, gratii la geamuri, alarme de securitate, filtre de retea, camere de supraveghere video.

Protecții software: sunt utilizate instrumente ale sistemului de operare precum protecție, parolă, conturi.

Mijloace organizatorice de protectie: pregatirea spatiului cu calculatoare.

2 Îmbunătățirea sistemului de securitate a informațiilor

2.1 Deficiențe identificate în sistemul de securitate a informațiilor

Cel mai vulnerabil punct în protecția informațiilor în societate este protecția Securitatea calculatorului. Chiar și în cadrul unei analize superficiale a întreprinderii, pot fi identificate următoarele neajunsuri:

§ Informațiile sunt rareori copiate de rezervă;

§ Nivel insuficient de software de securitate a informațiilor;

§ Unii angajați au abilități insuficiente de calculator;

§ Nu există control asupra angajaților. Adesea, angajații pot părăsi locul de muncă fără să-și închidă computerul și să aibă o unitate flash cu informații despre service.

§ Lipsa documentelor normative privind securitatea informatiei.

§ Nu toate computerele folosesc instrumente OS, cum ar fi parolele și conturile.

2.2 Scopuri și obiective ale formării sistemului de securitate a informațiilor în întreprindere

Scopul principal al sistemului de securitate a informațiilor este de a asigura funcționarea stabilă a unității, de a preveni amenințările la adresa securității acesteia, de a proteja interesele legitime ale întreprinderii de încălcări ilegale, de a preveni furtul de fonduri, dezvăluirea, pierderea, scurgerea, denaturarea și distrugerea informații oficiale, asigurând activitățile normale de producție ale tuturor departamentelor unității. Un alt obiectiv al sistemului de securitate a informațiilor este îmbunătățirea calității serviciilor oferite și garantarea securității drepturilor și intereselor de proprietate.

Sarcinile formării unui sistem de securitate a informațiilor într-o organizație sunt: ​​integritatea informațiilor, fiabilitatea informațiilor și confidențialitatea acesteia. Când sarcinile sunt finalizate, obiectivul va fi realizat.

Crearea sistemelor de securitate a informațiilor (ISS) în IS și IT se bazează pe următoarele principii:

O abordare sistematică a construirii unui sistem de protecție, ceea ce înseamnă combinația optimă de proprietăți organizaționale, software, hardware, fizice și de altă natură interconectate, confirmată de practica creării de sisteme de protecție interne și externe și utilizate în toate etapele ciclului tehnologic de prelucrare a informațiilor .

Principiul dezvoltării continue a sistemului. Acest principiu, care este unul dintre cele fundamentale pentru sistemele informatice informatice, este și mai relevant pentru NIS. Modalitățile de implementare a amenințărilor la adresa informațiilor în IT sunt în mod constant îmbunătățite și, prin urmare, asigurarea securității IP nu poate fi un act unic. Acesta este un proces continuu, care constă în fundamentarea și implementarea celor mai raționale metode, metode și modalități de îmbunătățire a ISS, monitorizare continuă, identificarea blocajelor și punctelor slabe ale acestuia, a potențialelor canale de scurgere de informații și a noilor metode de acces neautorizat.

Separarea și reducerea la minimum a competențelor de acces la informațiile prelucrate și la procedurile de prelucrare, adică oferirea atât utilizatorilor, cât și angajaților SI înșiși cu un minim de puteri strict definite, suficiente pentru ca aceștia să își poată îndeplini atribuțiile oficiale.

Completitudinea controlului și înregistrării încercărilor de acces neautorizat, adică necesitatea stabilirii cu exactitate a identității fiecărui utilizator și a înregistrării acțiunilor acestuia în vederea unei eventuale investigații, precum și imposibilitatea efectuării oricărei operațiuni de prelucrare a informațiilor în IT fără înregistrare prealabilă.

Asigurarea fiabilității sistemului de protecție, adică a imposibilității reducerii nivelului de fiabilitate în cazul defecțiunilor, defecțiunilor, acțiunilor intenționate ale unui hacker sau erorilor neintenționate ale utilizatorilor și personalului de întreținere a sistemului.

Asigurarea controlului asupra funcționării sistemului de protecție, i.e. crearea de mijloace și metode de monitorizare a performanței mecanismelor de protecție.

Furnizarea de tot felul de instrumente anti-malware.

Asigurarea fezabilității economice a utilizării sistemului de protecție, care se exprimă în excesul de posibile daune aduse SI și IT din implementarea amenințărilor peste costul dezvoltării și exploatării SSI.

2.3 Acțiuni sugerate pentru îmbunătățirea sistemului de securitate a informațiilor al organizației

Deficiențele identificate la întreprindere necesită eliminarea lor, prin urmare, se propun următoarele măsuri.

§ Backup regulat al bazei de date cu datele personale ale angajatilor companiei, cu datele contabile si alte baze de date disponibile la intreprindere. Acest lucru va preveni pierderea datelor din cauza defecțiunilor de disc, întreruperi de curent, viruși și alte accidente. Planificare atentă și proceduri regulate Rezervă copie vă permite să restaurați rapid datele în caz de pierdere.

§ Utilizarea instrumentelor OS pe fiecare computer. Crearea de conturi pentru specialiști și schimbarea regulată a parolei pentru aceste conturi.

§ Instruirea personalului întreprinderii pentru lucrul cu calculatoare. Stare necesară pentru buna functionare la statiile de lucru si prevenirea pierderii si deteriorarii informatiilor. Munca intregii intreprinderi depinde de aptitudinile personalului PC in ceea ce priveste executia corecta.

§ Instalarea pe computere a programelor antivirus precum: Avast, NOD, Doctor Webși așa mai departe. Acest lucru va evita infectarea computerelor cu diverse programe rău intenționate numite viruși. Ceea ce este foarte important pentru această întreprindere, deoarece mai multe PC-uri au acces la Internet, iar angajații folosesc media flash pentru a face schimb de informații.

§ Efectuarea controlului asupra angajatilor, folosind camere video. Acest lucru va reduce cazurile de manipulare neglijentă a echipamentelor, riscul de furt și deteriorare a echipamentelor și va permite, de asemenea, controlul „eliminării” informațiilor oficiale de pe teritoriul companiei.

§ Elaborarea unui document de reglementare „Măsuri de protecție a informațiilor din Oven LLC și responsabilitatea pentru încălcările acestora”, care ar respecta legislația actuală a Federației Ruse și ar determina riscurile, încălcările și răspunderea pentru aceste încălcări (amenzi, pedepse). Pe langa realizarea rutei corespunzatoare in contractul de munca al societatii, pe care il cunoaste si se angajeaza sa respecte prevederile prezentului document.

2.4 Eficacitatea activităților propuse

Măsurile propuse poartă nu numai aspecte pozitive, precum eliminarea principalelor probleme din întreprindere legate de securitatea informației. Dar, în același timp, vor necesita investiții suplimentare în pregătirea personalului și dezvoltarea documentelor de reglementare referitoare la politica de securitate. Va necesita costuri suplimentare cu forța de muncă și nu va elimina complet riscurile. Va exista intotdeauna un factor uman, forta majora. Dar dacă nu se iau astfel de măsuri, costurile restabilirii informațiilor, oportunitățile pierdute vor costa mai mult decât cele necesare dezvoltării unui sistem de securitate.

Luați în considerare rezultatele măsurilor propuse:

1. Creșterea fiabilității sistemului de securitate a informațiilor al organizației;

2. Creșterea nivelului de competență PC al personalului;

3. Risc redus de pierdere a informațiilor;

4. Disponibilitatea unui document de reglementare care definește politica de securitate.

5. Reduceți eventual riscul introducerii/eliminării informațiilor din întreprindere.

3 Model de securitate a informațiilor

Modelul de securitate a informațiilor prezentat (Figura 2) este un ansamblu de factori externi și interni obiectivi și influența acestora asupra stării securității informațiilor din unitate și asupra siguranței resurselor materiale sau informaționale.

Figura 2 - Modelul sistemului de securitate a informațiilor

Acest model respectă documentele de reglementare speciale pentru asigurarea securității informațiilor adoptate în Federația Rusă, standardul internațional ISO/IEC 15408 „Tehnologia informației – metode de protecție – criterii de evaluare a securității informațiilor”, standardul ISO/IEC 17799 „Managementul securității informațiilor”. „, și ia în considerare tendințele de dezvoltare cadrului de reglementare național (în special, Comisia Tehnică de Stat a Federației Ruse) cu privire la problemele de securitate a informațiilor.

Concluzii si oferte

Era Informației a adus schimbări dramatice în modul în care oamenii își îndeplinesc sarcinile pentru un număr mare de profesii. Acum, un specialist non-tehnic de nivel mediu poate face munca pe care o făcea un programator cu înaltă calificare. Angajatul are la dispoziție atât de multe informații exacte și actualizate pe cât nu a avut niciodată.

Dar utilizarea computerelor și a tehnologiilor automatizate duce la o serie de probleme pentru managementul organizației. Calculatoarele, adesea conectate în rețea, pot oferi acces la o cantitate imensă de date. Prin urmare, oamenii sunt îngrijorați de securitatea informațiilor și de riscurile asociate cu automatizarea și furnizarea unui acces mult mai mare la date confidențiale, personale sau alte date critice. Numărul infracțiunilor informatice este în continuă creștere, ceea ce poate duce în cele din urmă la subminarea economiei. Și așa ar trebui să fie clar că informația este o resursă care trebuie protejată.

Și din moment ce automatizarea a dus la faptul că acum funcționează cu tehnologia calculatoarelor sunt efectuate de către angajații obișnuiți ai organizației, și nu de către personal tehnic special instruit, este necesar ca utilizatorii finali să fie conștienți de responsabilitatea lor pentru protejarea informațiilor.

Nu există o singură rețetă care să ofere o garanție de 100% a siguranței datelor și a funcționării fiabile a rețelei. Cu toate acestea, crearea unui concept de securitate cuprinzător, bine gândit, care ține cont de specificul sarcinilor unei anumite organizații va ajuta la minimizarea riscului de a pierde informații valoroase. Securitatea computerelor este o luptă constantă împotriva prostiei utilizatorilor și a inteligenței hackerilor.

În concluzie, aș dori să spun că protecția informațiilor nu se limitează la metode tehnice. Problema este mult mai amplă. Principala lipsă de protecție sunt oamenii și, prin urmare, fiabilitatea sistemului de securitate depinde în principal de atitudinea angajaților companiei față de acesta. În plus, protecția trebuie îmbunătățită constant odată cu dezvoltarea unei rețele de calculatoare. Nu uitați că nu sistemul de securitate interferează cu munca, ci absența acesteia.

De asemenea, aș dori, însumând rezultatele acestui proiect de curs, să remarc că, în urma analizei sistemului de securitate informațională al întreprinderii Berbec, au fost identificate cinci neajunsuri. După căutare s-au găsit soluții pentru eliminarea acestora, aceste neajunsuri pot fi corectate, ceea ce va îmbunătăți securitatea informațională a întreprinderii în ansamblu.

În cursul acțiunilor de mai sus, au fost elaborate abilitățile practice și teoretice de studiere a sistemului de securitate a informațiilor, prin urmare, scopul proiectului de curs a fost atins. Datorită soluțiilor găsite, putem spune că toate sarcinile proiectului au fost finalizate.

Bibliografie

1. GOST 7.1-2003. Fișă bibliografică. Descriere bibliografică. Cerințe generaleși reguli de compilare (M.: Editura standardelor, 2004).

2. Galatenko, V.A. „Fundamentele securității informațiilor”. - M.: „Intuit”, 2003.

3. Zavgorodniy, V. I. „Protecția integrată a informațiilor în sisteme informatice". - M.: „Logos”, 2001.

4. Zegzhda, D.P., Ivashko, A.M. „Fundamentele securității sistemelor informaționale”.

5. Nosov, V.A. Curs introductiv la disciplina „Securitatea informației”.

6. Legea federală a Federației Ruse din 27 iulie 2006 N 149-FZ „Cu privire la informații, tehnologia de informațieși protecția informațiilor”

Găzduit pe Allbest.ru

Documente similare

Caracteristicile resurselor informaționale ale exploatației agricole „Ashatli”. Amenințări la securitatea informațiilor specifice întreprinderii. Măsuri, metode și mijloace de protecție a informațiilor. Analiza deficiențelor existente și a avantajelor sistemului de securitate actualizat.

lucrare de termen, adăugată 02/03/2011


Informații generale despre activitățile întreprinderii. Obiecte de securitate a informațiilor la întreprindere. Măsuri și mijloace de protecție a informațiilor. Copierea datelor pe un suport amovibil. Instalarea unui server intern de rezervă. Eficiența îmbunătățirii sistemului IS.

test, adaugat 29.08.2013


Conceptul, sensul și direcțiile securității informațiilor. O abordare sistematică a organizării securității informațiilor, protejând informațiile împotriva accesului neautorizat. Mijloace de protecție a informațiilor. Metode și sisteme de securitate a informațiilor.

rezumat, adăugat 15.11.2011


Sistem de formare a modului de securitate a informațiilor. Sarcinile securității informaționale ale societății. Mijloace de protecție a informațiilor: metode și sisteme de bază. Protecția informațiilor în rețelele de calculatoare. Prevederile celor mai importante acte legislative ale Rusiei.

rezumat, adăugat 20.01.2014


Analiza riscurilor la securitatea informatiei. Evaluarea mijloacelor de protecție existente și planificate. Un set de măsuri organizaționale pentru a asigura securitatea informațiilor și protecția informațiilor întreprinderii. Un exemplu de control al implementării proiectului și descrierea acestuia.

teză, adăugată 19.12.2012


O strategie de securitate a informațiilor întreprinderii sub forma unui sistem de politici eficiente care ar defini un set eficient și suficient de cerințe de securitate. Identificarea amenințărilor la adresa securității informațiilor. Controlul intern și managementul riscurilor.

lucrare de termen, adăugată 14.06.2015


Descrierea complexului de sarcini și justificarea necesității de îmbunătățire a sistemului de asigurare a securității și protecției informațiilor la întreprindere. Dezvoltarea unui proiect pentru utilizarea unui SGBD, securitatea informațiilor și protecția datelor cu caracter personal.

teză, adăugată 17.11.2012


Documente de reglementareîn domeniul securității informațiilor în Rusia. Analiza amenințărilor sistemelor informaționale. Caracteristici ale organizării sistemului de protecție a datelor cu caracter personal al clinicii. Implementarea unui sistem de autentificare folosind chei electronice.

teză, adăugată 31.10.2016


Condiții preliminare pentru crearea unui sistem de securitate a datelor cu caracter personal. Amenințări la adresa securității informațiilor. Surse de acces neautorizat la ISPD. Dispozitivul sistemelor informatice de date cu caracter personal. Mijloace de protecție a informațiilor. Politică de securitate.

lucrare de termen, adăugată 10.07.2016


Sarcini, structură, măsuri fizice, software și hardware pentru protejarea sistemului informațional. Tipuri și cauze ale infracțiunilor informatice, modalități de îmbunătățire a politicii de securitate a organizației. Scopul și funcțiile principale ale folderului „Jurnal” MS Outlook 97.