2. Antivírusový systém ESET NOD 32 na ochranu pred počítačovými vírusmi.

Databázy sú pravidelne aktualizované a pracovné stanice sú kontrolované.

3. Vstavaná záloha systému Windows na vytváranie archívov.

OS Backup Wizard je program určený pre rýchla tvorba a obnoviť zálohu kópie systému Windows. Umožňuje vám vytvoriť kópiu celého systému Windows alebo len jednotlivých súborov a priečinkov.

4. Šifrovanie s 2048 bitovým kľúčom pre vpn kanál(napojenie na kanceláriu správcovskej spoločnosti pre poštu a workflow).

Kapitola 2. Zlepšenie NIS

2.1 Slabé stránky v systéme informačnej bezpečnosti

Pri analýze problematiky informačnej bezpečnosti je potrebné brať do úvahy špecifiká tohto aspektu bezpečnosti, ktoré spočívajú v tom, že informačná bezpečnosť je neoddeliteľnou súčasťou informačných technológií – oblasti, ktorá sa rozvíja nebývalým tempom. Tu to nie je až také dôležité samostatné riešenia(zákony, školenia, softvérové ​​a hardvérové ​​produkty), ktoré sú na modernej úrovni, koľko mechanizmov na generovanie nových riešení, ktoré vám umožňujú žiť tempom technického pokroku.

Moderné technológie programovanie neumožňujú vytvárať bezchybné programy, čo neprispieva k rýchlemu vývoju softvéru informačná bezpečnosť.

Po analýze informačnej bezpečnosti podniku môžeme konštatovať, že informačnej bezpečnosti sa nevenuje dostatočná pozornosť:

Nedostatok prístupových hesiel do systému;

Neprítomnosť hesiel pri práci s programom s 1C: Enterprise pri zmene údajov;

Neexistuje žiadna dodatočná ochrana súborov a informácií (neexistuje žiadna elementárna požiadavka na heslo pri otváraní alebo zmene informácií v súboroch, nehovoriac o nástrojoch na šifrovanie údajov);

Nepravidelná aktualizácia databáz antivírusových programov a skenovanie pracovných staníc;

Veľké množstvo dokumentov na papieri je hlavne v priečinkoch (niekedy aj bez nich) na pracovnej ploche zamestnanca, čo útočníkom umožňuje jednoducho použiť tento druh informácií na vlastné účely;

V podniku neprebieha pravidelná diskusia o otázkach bezpečnosti informácií a vznikajúcich problémoch v tejto oblasti;

Pravidelná kontrola prevádzkyschopnosti informačných systémov podniku nie je organizovaná, ladenie sa vykonáva iba v prípade zlyhania;

Nedostatok politiky informačnej bezpečnosti;

Nedostatok správcu systému.

Všetky vyššie uvedené sú veľmi dôležité nedostatky pri zabezpečovaní informačnej bezpečnosti podniku.

2.2 Účel a ciele systému informačnej bezpečnosti

Informačná bezpečnosť – stav bezpečnosti informačné zdroje V počítačové siete a podnikových systémov pred neoprávneným prístupom, náhodným alebo úmyselným zásahom do normálneho fungovania systémov, pokusmi o zničenie ich komponentov.

Ciele informačnej bezpečnosti:

predchádzanie ohrozeniu bezpečnosti podniku v dôsledku neoprávneného zásahu do informačných zdrojov a informačných systémov, ktorých cieľom je ničiť, upravovať, skresľovať, kopírovať, blokovať informácie alebo iné formy protiprávneho zasahovania;

uchovávanie obchodných tajomstiev spracovaných pomocou počítačovej technológie;

ochrana ústavných práv občanov na zachovanie osobného tajomstva a dôvernosti osobných údajov dostupných v informačných systémoch.

Na dosiahnutie cieľov ochrany by sa malo zabezpečiť efektívne riešenie nasledujúcich úloh:

Ochrana pred zásahmi do procesu fungovania podniku neoprávnenými osobami;

ochrana pred neoprávneným konaním s informačnými zdrojmi podniku neoprávnenými osobami a zamestnancami, ktorí nemajú príslušné oprávnenie;

Zabezpečenie úplnosti, spoľahlivosti a efektívnosti informačnej podpory pri adopcii manažérske rozhodnutia riadenie podniku;

Zabezpečenie fyzickej bezpečnosti technické prostriedky a podnikový softvér a ich ochrana pred pôsobením umelých a prírodných zdrojov hrozieb;

registrácia udalostí ovplyvňujúcich bezpečnosť informácií, zabezpečenie plnej kontroly a zodpovednosti za vykonávanie všetkých operácií vykonávaných v podniku;

včasná identifikácia, hodnotenie a predpovedanie zdrojov ohrozenia informačnej bezpečnosti, príčin a podmienok, ktoré prispievajú k poškodeniu záujmov subjektov, narušeniu normálneho fungovania a rozvoja podniku;

analýza rizík realizácie ohrozenia informačnej bezpečnosti a hodnotenie možných škôd, predchádzanie neprijateľným následkom narušenia informačnej bezpečnosti podniku, vytváranie podmienok na minimalizáciu a lokalizáciu spôsobených škôd;

Zabezpečenie možnosti obnovenia súčasného stavu podniku v prípade narušenia informačnej bezpečnosti a odstránenie následkov týchto porušení;

· Tvorba a formovanie cieľavedomej politiky informačnej bezpečnosti podniku.

2.3 Opatrenia a prostriedky na zlepšenie systému informačnej bezpečnosti

Na dosiahnutie stanovených cieľov a riešenie problémov je potrebné vykonávať aktivity na úrovniach informačnej bezpečnosti.

Administratívna úroveň informačnej bezpečnosti.

Na vytvorenie systému informačnej bezpečnosti je potrebné vypracovať a schváliť politiku informačnej bezpečnosti.

Bezpečnostná politika je súbor zákonov, pravidiel a noriem správania zameraných na ochranu informácií a s nimi spojených zdrojov.

Je potrebné poznamenať, že vypracovaná politika by mala byť v súlade s existujúcimi zákonmi a predpismi týkajúcimi sa organizácie, t.j. tieto zákony a nariadenia je potrebné identifikovať a zohľadniť pri tvorbe politiky.

Čím je systém spoľahlivejší, tým prísnejšia a rozmanitejšia by mala byť bezpečnostná politika.

V závislosti od formulovanej politiky si môžete zvoliť konkrétne mechanizmy, ktoré zabezpečia bezpečnosť systému.

Organizačná úroveň ochrany informácií.

Na základe nedostatkov popísaných v predchádzajúcej časti je možné navrhnúť nasledujúce opatrenia na zlepšenie informačnej bezpečnosti:

Organizácia práce na školenie zamestnancov v zručnostiach práce s novými softvérové ​​produkty za účasti kvalifikovaných odborníkov;

Rozvoj potrebných opatrení zameraných na zlepšenie systému ekonomického, sociálneho a informačného zabezpečenia podniku.

Vykonajte brífing tak, aby si každý zamestnanec uvedomil dôležitosť a dôvernosť informácií, ktoré mu boli zverené, ako spravidla dôvod zverejnenia dôverné informácie je nedostatočná znalosť pravidiel ochrany obchodného tajomstva zamestnancami a nepochopenie (alebo nepochopenie) potreby ich starostlivého dodržiavania.

Prísna kontrola dodržiavania pravidiel pre prácu s dôvernými informáciami zamestnancami;

Kontrola dodržiavania pravidiel uchovávania pracovnej dokumentácie zamestnancov podniku;

Plánované stretnutia, semináre, diskusie o otázkach bezpečnosti podnikových informácií;

Pravidelná (plánovaná) kontrola a údržba prevádzkyschopnosti všetkých informačných systémov a informačnej infraštruktúry.

Menovať správcu systému natrvalo.

Softvérové ​​a hardvérové ​​opatrenia na ochranu informácií.

Softvér a hardvér sú jedným z kritických komponentov pri realizácii ochranu informácií podniku je preto na zvýšenie úrovne ochrany informácií potrebné zaviesť a uplatňovať tieto opatrenia:

Zadávanie používateľských hesiel;

Ak chcete regulovať prístup používateľov k informačným zdrojom podniku, musíte zadať zoznam používateľov, ktorí vstúpia do systému pod svojím prihlásením. Používanie OS Windows Server 2003 Std nainštalovaný na serveri, môžete vytvoriť zoznam používateľov s príslušnými heslami. Rozdajte zamestnancom heslá s príslušnými pokynmi na ich použitie. Musíte tiež zadať dátum vypršania platnosti hesla, po ktorom bude používateľ vyzvaný na zmenu hesla. Obmedzte počet pokusov o prihlásenie s nesprávnym heslom (napríklad na tri).

Zavedenie požiadavky na heslo v programe 1C: Enterprise pri práci s databázou, pri zmene údajov. To sa dá urobiť s softvérové ​​nástroje PC a programy.

Diferenciácia prístupu k súborom, adresárom, diskom.

Vykoná sa diferenciácia prístupu k súborom a adresárom systémový administrátor, ktorý umožní prístup k príslušným jednotkám, priečinkom a súborom konkrétne pre každého používateľa.

Pravidelná kontrola pracovných staníc a aktualizácia databáz antivírusových programov.

Umožňuje odhaliť a neutralizovať škodlivé programy, odstrániť príčiny infekcií. Je potrebné vykonať inštaláciu, konfiguráciu a údržbu nástrojov a systémov antivírusová ochrana.

Aby ste to dosiahli, musíte nakonfigurovať antivírusový program tak, aby pravidelne skenoval váš počítač a pravidelne aktualizoval databázy zo servera.

Inštalácia firewallu Agnitum Outpost FireWall na serverový počítač, ktorý blokuje útoky z internetu.

Výhody používania Agnitum Outpost FireWall:

¾ kontroluje pripojenia vášho počítača k ostatným, blokuje hackerov a zabraňuje neoprávnenému externému a internému prístupu k sieti.

Po analýze informačnej bezpečnosti podniku môžeme konštatovať, že nedostatočná pozornosť sa venuje týmto bodom informačnej bezpečnosti:

– nepravidelné zálohovanie podnikovej databázy;

– údaje nie sú zálohované na osobných počítačoch zamestnancov;

– správy Email uložené na serveroch poštových služieb na internete;

– niektorí zamestnanci nemajú dostatočné zručnosti v práci s automatizovanými systémami;

zamestnanci majú prístup osobné počítače ich kolegovia;

- neprítomnosť antivírusové programy na niektorých pracovných staniciach;

- Slabá kontrola prístupu sieťové zdroje;

– Neexistujú žiadne regulačné dokumenty o bezpečnosti.

Všetky vyššie uvedené sú veľmi dôležité nedostatky pri zabezpečovaní informačnej bezpečnosti podniku.

Analýza rizík

Nebezpečnosť hrozby je určená rizikom v prípade jej úspešnej implementácie. Riziko je potenciálna škoda. Tolerovateľnosť rizika znamená, že škoda v prípade ohrozenia nepovedie k závažným negatívnym dôsledkom pre vlastníka informácie. Organizácia čelí nasledujúcim rizikám:

1. Nepravidelné zálohovanie podnikovej databázy;

Dôsledky: strata údajov o fungovaní podniku.

2. Neexistuje záloha údajov na osobných počítačoch zamestnancov;

Dôsledky: Keď zariadenie zlyhá, niektoré dôležité údaje sa môžu stratiť.

3. E-mailové správy sú uložené na serveroch poštových služieb na internete;

4. Niektorí zamestnanci nemajú dostatočné zručnosti v práci s automatizovanými systémami;

Dôsledky: Môže spôsobiť, že sa v systéme objavia nesprávne údaje.

5. Zamestnanci majú prístup k osobným počítačom svojich kolegov;

6. Nedostatok antivírusových programov na niektorých pracovných staniciach;

Dôsledky: výskyt vírusových programov, škodlivý softvér v systéme

7. Slabá diferenciácia prístupových práv k sieťovým zdrojom;

Dôsledky: nedbalosťou môže dôjsť k strate údajov.

8. Neexistujú žiadne normatívne dokumenty o bezpečnosti.

Účel a ciele systému informačnej bezpečnosti

Hlavným účelom podnikového bezpečnostného systému je zabrániť poškodeniu jeho činnosti krádežou materiálno-technických prostriedkov a dokumentácie; ničenie majetku a cenností; zverejnenie, únik a neoprávnený prístup k zdrojom dôverných informácií; porušovanie technických prostriedkov zabezpečovania výrobných činností vrátane nástrojov informatizácie, ako aj predchádzanie škodám na personálu podniku.

Ciele bezpečnostného systému sú:

ochrana práv podniku, jeho štrukturálnych divízií a zamestnancov;

· Zachovanie a efektívne využívanie finančných, materiálnych a informačných zdrojov;

· Zlepšenie imidžu a rast ziskov spoločnosti zabezpečením kvality služieb a bezpečnosti zákazníkov.

Úlohy podnikového bezpečnostného systému:

včasné odhalenie a odstránenie hrozieb pre personál a zdroje; príčiny a podmienky prispievajúce k spôsobeniu finančnej, materiálnej a morálnej škody na záujmoch podniku, k narušeniu jeho normálneho fungovania a rozvoja;

kategorizácia informácií obmedzený prístup a iné zdroje - na rôzne úrovne zraniteľnosti (nebezpečenstva) a podliehajúce ochrane;

vytvorenie mechanizmu a podmienok pre rýchlu reakciu na bezpečnostné hrozby a prejavy negatívnych trendov vo fungovaní podniku;

účinné potláčanie zásahov do zdrojov a ohrozenia personálu na základe integrovaného prístupu k bezpečnosti;

Organizácia a fungovanie bezpečnostného systému by mali byť založené na týchto zásadách:

Zložitosť. Ide o zaistenie bezpečnosti personálu, materiálnych a finančných zdrojov, informovanosti pred všetkými možnými ohrozeniami všetkými dostupnými právnymi prostriedkami a metódami, a to v celom rozsahu životný cyklus a vo všetkých režimoch prevádzky, ako aj schopnosť systému rozvíjať sa a zlepšovať v procese prevádzky.

Spoľahlivosť. Rôzne bezpečnostné zóny musia byť rovnako spoľahlivé z hľadiska pravdepodobnosti realizácie hrozby.

Včasnosť. Schopnosť systému byť proaktívna na základe analýzy a predikcie bezpečnostných hrozieb a vývoja účinných opatrení na ich odstránenie.

Kontinuita. Žiadne prerušenia prevádzky bezpečnostných systémov spôsobené opravou, výmenou, údržbou a pod.

Zákonnosť. Vývoj bezpečnostných systémov na základe existujúcej legislatívy.

primeraná dostatočnosť. Stanovenie prijateľnej úrovne bezpečnosti, pri ktorej sa bude kombinovať pravdepodobnosť a výška možnej škody s maximálnymi prípustnými nákladmi na vývoj a prevádzku zabezpečovacieho systému.

Centralizácia riadenia. Samostatné fungovanie bezpečnostného systému podľa jednotných organizačných, funkčných a metodických zásad.

kompetencie. Bezpečnostný systém by mali vytvárať a riadiť osoby, ktoré majú odborné vzdelanie dostatočné na správne posúdenie situácie a prijímanie adekvátnych rozhodnutí, a to aj v podmienkach zvýšeného rizika.

Najzraniteľnejšie miesto v bezpečnostnom systéme možno nazvať zamestnancami podniku a softvérom a hardvérom. Údaje sa najmä nezálohujú na osobných počítačoch v prípade zlyhania zariadenia, niektoré dôležité údaje sa môžu stratiť; aktualizácia nie je spustená operačný systém MS Windows XP a používaného softvéru, ktoré môžu viesť k neoprávnenému prístupu k informáciám uloženým v PC alebo jeho poškodeniu v dôsledku chýb v softvéri; prístup zamestnancov k internetovým zdrojom nie je kontrolovaný, čo môže viesť k úniku dát; podnikania emailová korešpondencia e-mailové správy, ktoré sa uskutočňujú cez internet prostredníctvom nezabezpečených kanálov, sú uložené na serveroch poštových služieb na internete; niektorí zamestnanci nemajú dostatočné zručnosti v práci s automatizovanými systémami používanými v akadémii, čo môže viesť k tomu, že sa v systéme objavia nesprávne údaje; zamestnanci majú prístup k osobným počítačom svojich kolegov, čo môže z nedbanlivosti viesť k strate údajov; prístup do archívu majú všetci členovia fakulty, v dôsledku čoho môže dôjsť k strate niektorých osobných spisov alebo ich vyhľadávanie môže trvať dlho; neexistujú žiadne bezpečnostné predpisy.

Hlavným cieľom systému informačnej bezpečnosti je zabezpečiť stabilnú prevádzku zariadenia, predchádzať ohrozeniam jeho bezpečnosti, chrániť oprávnené záujmy podniku pred nezákonnými zásahmi, zabrániť prezradeniu, strate, úniku, skresleniu a zničeniu informácií o službách a osobných informácií, zabezpečenie bežnej výrobnej činnosti všetkých oddelení zariadenia.

Ďalším cieľom systému informačnej bezpečnosti je zvyšovanie kvality poskytovaných služieb a bezpečnostných záruk.

Úlohy formovania systému informačnej bezpečnosti v organizácii sú: integrita informácií, spoľahlivosť informácií a ich dôvernosť. Keď sú úlohy splnené, cieľ bude realizovaný.

Tvorba systémov informačnej bezpečnosti v IS a IT je založená na nasledujúcich princípoch:

Systematický prístup k budovaniu systému ochrany, pod ktorým sa rozumie optimálna kombinácia vzájomne súvisiacich organizačných, softvérových, hardvérových, fyzických a iných vlastností, potvrdená praxou tvorby domácich a zahraničných ochranných systémov a využívaná vo všetkých fázach technologického cyklu spracovania informácií. .

Princíp neustáleho vývoja systému. Tento princíp, ktorý je jedným zo základných princípov počítačových informačných systémov, je pre NIS ešte relevantnejší. Spôsoby implementácie hrozieb pre informácie v IT sa neustále zdokonaľujú, a preto zaistenie bezpečnosti IP nemôže byť jednorazovým úkonom. Ide o nepretržitý proces, ktorý spočíva v zdôvodňovaní a implementácii najracionálnejších metód, metód a spôsobov zlepšovania ISS, priebežného monitorovania, identifikácie jej úzkych miest a slabín, potenciálnych kanálov úniku informácií a nových metód neoprávneného prístupu.

Oddelenie a minimalizácia právomocí pre prístup k spracovaným informáciám a procesom spracovania, t.j. poskytnúť užívateľom aj zamestnancom IS minimum presne vymedzených právomocí postačujúcich na plnenie služobných povinností.

Úplnosť kontroly a evidencie pokusov o neoprávnený prístup, t.j. potreba presného zistenia totožnosti každého používateľa a zaznamenanie jeho úkonov pre prípadné vyšetrovanie, ako aj nemožnosť vykonávať akúkoľvek operáciu spracovania informácií v IT bez jeho predchádzajúcej registrácie.

Zabezpečenie spoľahlivosti ochranného systému, t.j. nemožnosť zníženia úrovne spoľahlivosti v prípade porúch, porúch, úmyselných akcií hackera alebo neúmyselných chýb používateľov a personálu údržby v systéme.

Zabezpečenie kontroly nad fungovaním ochranného systému, t.j. vytváranie prostriedkov a metód na monitorovanie výkonu ochranných mechanizmov.

Poskytovanie rôznych prostriedkov boja malvér.

Zabezpečenie ekonomickej realizovateľnosti používania ochranného systému, ktorá je vyjadrená prevyšovaním možného poškodenia IS a IT z implementácie hrozieb nad náklady na vývoj a prevádzku ISS.

Prijaté ochranné opatrenia by mali byť primerané pravdepodobnosti implementácie tohto typu hrozba a potenciálna škoda, ktorá by mohla byť spôsobená, ak by sa hrozba naplnila (vrátane nákladov na obranu proti nej).

Treba mať na pamäti, že mnohé ochranné opatrenia si vyžadujú dostatočne veľké výpočtové zdroje, čo následne výrazne ovplyvňuje proces spracovania informácií. Moderným prístupom k riešeniu tohto problému je preto uplatňovanie princípov situačného riadenia bezpečnosti informačných zdrojov v automatizovaných riadiacich systémoch. Podstata tohto prístupu spočíva v tom, že požadovaná úroveň informačnej bezpečnosti je nastavená v súlade so situáciou, ktorá určuje pomer medzi hodnotou spracovávaných informácií, nákladmi (pokles výkonnosti automatizovaných riadiacich systémov, dodatočné Náhodný vstup do pamäťe atď.), ktoré sú potrebné na dosiahnutie tejto úrovne, a prípadné celkové straty (materiálne, morálne a pod.) zo skreslenia a neoprávneného použitia informácií.

Potrebné charakteristiky ochrany informačných zdrojov sa zisťujú v priebehu situačného plánovania pri priamej príprave technologického procesu bezpečného spracovania informácií s prihliadnutím na aktuálnu situáciu a tiež (v zníženom objeme) aj počas procesu spracovania. Pri výbere ochranných opatrení treba brať do úvahy nielen priame náklady na nákup zariadení a programov, ale aj náklady na zavádzanie nových produktov, školenia a preškoľovanie personálu. Dôležitou okolnosťou je kompatibilita nového nástroja s existujúcou hardvérovou a softvérovou štruktúrou objektu.

Zahraničné skúsenosti v oblasti ochrany duševného vlastníctva a domáce skúsenosti s ochranou štátneho tajomstva ukazujú, že efektívna môže byť len komplexná ochrana, ktorá spája také oblasti ochrany ako právnu, organizačnú a inžiniersku.

Právne smerovanie ustanovuje tvorbu súboru legislatívnych aktov, regulačných dokumentov, nariadení, pokynov, usmernení, ktorých požiadavky sú povinné v rámci rozsahu ich činnosti v systéme informačnej bezpečnosti.

Organizačné smerovanie- ide o úpravu produkčnej činnosti a vzťahu výkonných umelcov na právnom základe tak, aby sa organizačné opatrenia znemožnili alebo výrazne sťažili zverejnenie, únik a neoprávnený prístup k dôverným informáciám.

Podľa odborníkov zohrávajú organizačné opatrenia dôležitú úlohu pri vytváraní spoľahlivého mechanizmu na ochranu informácií, pretože možnosť neoprávneného použitia dôverných informácií nie je z veľkej časti spôsobená technickými aspektmi, ale škodlivými činmi, nedbalosťou, nedbalosťou a nedbalosťou používateľov alebo bezpečnosťou. personál.

Organizačné aktivity zahŕňajú:

Činnosti vykonávané v oblasti projektovania, výstavby a vybavenia kancelárskych a priemyselných budov a priestorov;

Činnosti vykonávané pri výbere personálu;

Organizácia a udržiavanie spoľahlivej kontroly vstupu, bezpečnosť priestorov a územia, kontrola návštevníkov;

Organizovanie skladovania a používania dokumentov a nosičov dôverných informácií;

Organizácia informačnej bezpečnosti;

Organizácia pravidelných školení zamestnancov.

Jednou z hlavných zložiek organizačnej informačnej bezpečnosti spoločnosti je Služba informačnej bezpečnosti (ISS - orgán riadenia systému informačnej bezpečnosti). Je to od odbornej pripravenosti zamestnancov služby informačnej bezpečnosti, prítomnosti v ich arzenáli modernými prostriedkami riadenie bezpečnosti do značnej miery závisí od účinnosti opatrení na ochranu informácií. Jeho personálna štruktúra, veľkosť a zloženie sú určené skutočnými potrebami spoločnosti, stupňom dôvernosti jej informácií a celkovým stavom bezpečnosti.

Hlavným účelom fungovania ISS s využitím organizačných opatrení a softvéru a hardvéru je vyhnúť sa alebo aspoň minimalizovať možnosť porušenia bezpečnostnej politiky, v krajnom prípade včas spozorovať a eliminovať následky narušenia.

Na zabezpečenie úspešného fungovania SIS je potrebné určiť jej práva a povinnosti, ako aj pravidlá pre interakciu s ostatnými zložkami v otázkach ochrany informácií v zariadení. Počet služieb by mal byť dostatočný na vykonávanie všetkých funkcií, ktoré sú mu pridelené. Je žiaduce, aby pracovníci služby nemali povinnosti súvisiace s fungovaním predmetu ochrany. Služba informačnej bezpečnosti musí mať zabezpečené všetky podmienky potrebné na výkon jej funkcií.

jadro inžiniersky a technický smer sú softvérové ​​a hardvérové ​​nástroje informačnej bezpečnosti, ktoré zahŕňajú mechanické, elektromechanické, elektronické, optické, laserové, rádiové a rádiotechnické, radarové a iné zariadenia, systémy a štruktúry určené na zaistenie bezpečnosti a ochrany informácií.

Pod softvér informačná bezpečnosť sa chápe ako súbor špeciálne programy, uvedomujúc si funkcie ochrany informácií a spôsob fungovania.

Vytvorený súbor právnych, organizačných a inžinierskych opatrení vyúsťuje do vhodnej bezpečnostnej politiky.

Bezpečnostná politika určuje vzhľad systému informačnej bezpečnosti vo forme súboru právnych noriem, organizačných (právnych) opatrení, súboru softvérových a hardvérových nástrojov a procesných riešení zameraných na boj proti hrozbám s cieľom eliminovať alebo minimalizovať možné následky informácií. dopady. Po prijatí tej či onej verzie bezpečnostnej politiky je potrebné posúdiť úroveň bezpečnosti informačného systému. Prirodzene, hodnotenie bezpečnosti sa vykonáva podľa súboru ukazovateľov, z ktorých hlavné sú náklady, efektívnosť a uskutočniteľnosť.

Vyhodnotenie možností budovania systému informačnej bezpečnosti je pomerne komplikovaná úloha vyžadujúca použitie moderných matematických metód na multiparametrické hodnotenie výkonnosti. Patria sem: metóda analýzy hierarchií, expertné metódy, metóda postupných ústupkov a mnohé ďalšie.

Keď sa prijmú zamýšľané opatrenia, je potrebné skontrolovať ich účinnosť, teda uistiť sa, že zvyškové riziká sa stali prijateľnými. Až potom je možné stanoviť dátum ďalšieho precenenia. V opačnom prípade budete musieť analyzovať vykonané chyby a vykonať druhú reláciu analýzy zraniteľnosti, berúc do úvahy zmeny v systéme ochrany.

Vygenerovaný možný scenár konania narušiteľa vyžaduje overenie systému informačnej bezpečnosti. Tento test sa nazýva "penetračný test". Cieľom je poskytnúť istotu, že neexistujú jednoduché spôsoby, ako by neoprávnený používateľ obišiel bezpečnostné mechanizmy.

Jeden z možné spôsoby atestácie zabezpečenia systému – pozývanie hackerov na hackovanie bez predchádzajúceho upozornenia personálu siete. Na tento účel je pridelená skupina dvoch alebo troch ľudí s vysokým odborným vzdelaním. Hackerom je poskytnutý chránený automatizovaný systém a skupina sa snaží nájsť zraniteľné miesta počas 1-3 mesiacov a na ich základe vyvinúť testovacie nástroje na obídenie ochranných mechanizmov. Najatí hackeri predkladajú dôvernú správu o výsledkoch práce s hodnotením úrovne dostupnosti informácií a odporúčaniami na zlepšenie ochrany.

Spolu s touto metódou sa používajú nástroje na testovanie softvéru.

Na javisku vypracovanie plánu ochrany v súlade so zvolenou bezpečnostnou politikou je vypracovaný plán jej realizácie. Plán ochrany je dokument, ktorým sa uvádza do platnosti systém ochrany informácií, ktorý schvaľuje vedúci organizácie. Plánovanie nie je len o najlepšie využitie všetkými možnosťami, ktoré má spoločnosť k dispozícii, vrátane pridelených zdrojov, ale aj s predchádzaním chybným konaniam, ktoré by mohli viesť k zníženiu účinnosti prijatých opatrení na ochranu informácií.

Plán bezpečnosti informácií o lokalite by mal obsahovať:

Popis chráneného systému (hlavné charakteristiky chráneného objektu: účel objektu, zoznam úloh, ktoré sa majú riešiť, konfigurácia, vlastnosti a umiestnenie hardvéru a softvéru, zoznam kategórií informácií (balíky, súbory, súbory a databázy, v ktorých sa nachádzajú), ktoré sa majú chrániť, a požiadavky na zabezpečenie prístupu, dôvernosti, integrity týchto kategórií informácií, zoznam používateľov a ich oprávnenie na prístup k systémovým zdrojom atď.);

Účel ochrany systému a spôsoby zaistenia bezpečnosti automatizovaného systému a informácií, ktoré v ňom cirkulujú;

Zoznam významných bezpečnostných hrozieb automatizovaný systém pred ktorými sa vyžaduje ochrana a najpravdepodobnejšie cesty poškodenia;

Politika informačnej bezpečnosti;

Plán financovania a funkčný diagram systémy informačnej bezpečnosti v zariadení;

Špecifikácia nástrojov informačnej bezpečnosti a odhady nákladov na ich implementáciu;

Kalendárny plán vykonávania organizačných a technických opatrení na ochranu informácií, postup uvedenia prostriedkov ochrany do účinnosti;

Základné pravidlá upravujúce činnosť personálu v otázkach zabezpečenia informačnej bezpečnosti zariadenia (špeciálne povinnosti úradníkov obsluhujúcich automatizovaný systém);

Postup pri preskúmaní plánu a modernizácii prostriedkov ochrany.

Plán ochrany sa reviduje pri zmene nasledujúcich komponentov objektu:

Architektúra informačný systém(pripojenie ďalších lokálnych sietí, zmena alebo úprava používaného počítačového vybavenia alebo softvéru);

Územné umiestnenie komponentov automatizovaného systému.

V rámci plánu ochrany je potrebné mať akčný plán pre personál v kritických situáciách, t.j. plán zásobovania nepretržitá práca a obnovu informácií. Odráža:

Účelom zabezpečenia kontinuity procesu fungovania automatizovaného systému, obnovy jeho výkonu a spôsobov jeho dosiahnutia;

Zoznam a klasifikácia možných krízových situácií;

Požiadavky, opatrenia a prostriedky na zabezpečenie nepretržitej prevádzky a obnovy procesu spracovania informácií (postup vytvárania, uchovávania a používania zálohy informácie, údržba aktuálnych, dlhodobých a núdzových archívov; zloženie záložného vybavenia a postup jeho použitia atď.);

Zodpovednosti a postup pri konaní rôznych kategórií personálu systému v krízových situáciách, v prípade likvidácie ich následkov, minimalizácie spôsobených škôd a pri obnove normálneho fungovania systému.

Ak organizácia vymení elektronické dokumenty s partnermi pri vykonávaní jednotlivých objednávok je potrebné do plánu ochrany zahrnúť dohodu o postupe pri organizovaní výmeny elektronických dokumentov, ktorá zohľadňuje tieto otázky:

Oddelenie zodpovednosti subjektov podieľajúcich sa na procesoch elektronickej výmeny dokumentov;

Stanovenie postupu prípravy, vyhotovenia, prenosu, prijatia, overenia pravosti a integrity elektronických dokumentov;

Postup pri generovaní, certifikácii a distribúcii kľúčových informácií (kľúče, heslá atď.);

Postup pri riešení sporov v prípade konfliktov.

Plán informačnej bezpečnosti je balík textových a grafických dokumentov, preto spolu s vyššie uvedenými komponentmi tohto balíka môže zahŕňať:

Nariadenie o obchodnom tajomstve, ktorým sa vymedzuje zoznam informácií tvoriacich obchodné tajomstvo a postup pri jeho zisťovaní, ako aj povinnosti úradníkov pri ochrane obchodného tajomstva;

Predpisy o ochrane informácií, ktoré upravujú všetky oblasti činnosti na vykonávanie bezpečnostnej politiky, ako aj množstvo doplňujúcich pokynov, pravidiel, predpisov, ktoré zodpovedajú špecifikám predmetu ochrany.

Implementácia plánu ochrany (riadenie systému ochrany) zahŕňa vypracovanie potrebných dokumentov, uzatváranie zmlúv s dodávateľmi, inštaláciu a konfiguráciu zariadení atď. Po vytvorení informačného bezpečnostného systému je vyriešená úloha jeho efektívneho využívania, t. j. riadenia bezpečnosti.

Riadenie je proces cieľavedomého ovplyvňovania objektu, ktorý sa uskutočňuje s cieľom organizovať jeho fungovanie podľa daného programu.

Riadenie informačnej bezpečnosti by malo byť:

Odolné voči aktívnemu rušeniu zo strany narušiteľa;

Nepretržitý, poskytujúci neustály vplyv na proces ochrany;

Skryté, neumožňujúce odhaliť organizáciu riadenia informačnej bezpečnosti;

Operatívne, poskytujúce možnosť včas a primerane reagovať na akcie narušiteľov a implementovať rozhodnutia manažmentu do daného dátumu.

Okrem toho by rozhodnutia o informačnej bezpečnosti mali byť odôvodnené z hľadiska komplexného zváženia podmienok na plnenie úlohy, aplikácie rôzne modely, výpočtové a informačné úlohy, expertné systémy, skúsenosti a akékoľvek ďalšie údaje, ktoré zvyšujú spoľahlivosť prvotných informácií a rozhodnutí.

Ukazovateľom efektívnosti riadenia informačnej bezpečnosti je čas kontrolného cyklu pre danú kvalitu rozhodnutí. Riadiaci cyklus zahŕňa zhromažďovanie potrebných informácií na posúdenie situácie, rozhodovanie, vytváranie vhodných príkazov a ich vykonávanie. Ako kritérium efektívnosti je možné použiť čas odozvy systému informačnej bezpečnosti na porušenie, ktorý by podľa svojej hodnoty nemal presiahnuť čas zastarania informácií.

Ako ukazuje vývoj reálnych automatizovaných riadiacich systémov, žiadna z metód (opatrení, prostriedkov a činností) na zabezpečenie informačnej bezpečnosti nie je absolútne spoľahlivá a maximálny efekt sa dosiahne, keď sa všetky spoja do uceleného systému ochrany informácií. Len optimálna kombinácia organizačných, technických a programových opatrení, ako aj neustála pozornosť a kontrola udržiavania systému ochrany v aktuálnom stave, umožní zabezpečiť riešenie stálej úlohy s najväčšou účinnosťou.

Metodologickým základom pre zaistenie informačnej bezpečnosti sú pomerne všeobecné odporúčania založené na svetových skúsenostiach s tvorbou podobné systémy. Úlohou každého špecialistu na informačnú bezpečnosť je prispôsobiť abstraktné ustanovenia svojej konkrétnej tematickej oblasti (organizácia, banka), ktorá má vždy svoje osobitosti a jemnosti.

Analýza domácich a zahraničných skúseností presvedčivo dokazuje potrebu vytvorenia integrovaného systému informačnej bezpečnosti spoločnosti, ktorý prepája prevádzkové, prevádzkové, technické a organizačné ochranné opatrenia. Bezpečnostný systém by mal byť navyše optimálny z hľadiska pomeru nákladov a hodnoty chránených zdrojov. Systém potrebuje flexibilitu a adaptáciu na rýchlo sa meniace faktory prostredia, organizačné a sociálne podmienky v inštitúcii. Nie je možné dosiahnuť takúto úroveň bezpečnosti bez analýzy existujúcich hrozieb a možných kanálov úniku informácií, ako aj bez vypracovania politiky informačnej bezpečnosti v podniku. V dôsledku toho musí byť vytvorený plán ochrany, ktorý implementuje princípy stanovené v bezpečnostnej politike.

No sú tu aj ďalšie ťažkosti a „úskalia“, na ktoré si určite treba dať pozor. Ide o problémy, ktoré boli identifikované v praxi a sú slabo prístupné formalizácii: problémy sociálneho a politického charakteru, ktoré nie sú technického alebo technologického charakteru, ktoré sa riešia tak či onak.

Problém 1. Nedostatočné pochopenie medzi zamestnancami a manažérmi stredných a nižších tried pre potrebu pracovať na zlepšení úrovne informačnej bezpečnosti.

Na tejto priečke manažérskeho rebríčka spravidla nie sú viditeľné strategické úlohy, ktorým organizácia čelí. Súčasne môžu bezpečnostné problémy dokonca spôsobiť podráždenie - vytvárajú "zbytočné" ťažkosti.

Nasledujúce argumenty sa často uvádzajú proti práci a prijímaniu opatrení na zaistenie bezpečnosti informácií:

Vznik ďalších obmedzení pre koncových používateľov a špecialistov oddelení, čo im sťažuje používanie automatizovaného organizačného systému;

Potreba dodatočných materiálových nákladov tak na vykonávanie takejto práce, ako aj na rozšírenie personálu špecialistov zaoberajúcich sa problémom informačnej bezpečnosti.

Tento problém je jedným z hlavných. Všetky ostatné otázky tak či onak pôsobia ako ich dôsledky. Na jej prekonanie je dôležité vyriešiť tieto úlohy: po prvé, zlepšiť zručnosti personálu v oblasti informačnej bezpečnosti organizovaním špeciálnych stretnutí a seminárov; po druhé, zvýšiť úroveň informovanosti zamestnancov, najmä o strategických úlohách, ktorým organizácia čelí.

Problém 2 Konfrontácia medzi automatizačnou službou a bezpečnostnou službou organizácií.

Tento problém je spôsobený typom činnosti a sférou vplyvu, ako aj zodpovednosťou týchto štruktúr v rámci podniku. Implementácia systému ochrany je v rukách technických špecialistov a zodpovednosť za jeho zabezpečenie nesie bezpečnostná služba. Bezpečnostní špecialisti chcú za každú cenu obmedziť pomocou firewally všetku premávku. Ale ľudia, ktorí pracujú v oddeleniach automatizácie, nie sú ochotní riešiť ďalšie problémy spojené s údržbou špeciálnych nástrojov. Takéto nezhody nemajú najlepší vplyv na úroveň bezpečnosti celej organizácie.

Tento problém, ako väčšina podobných, sa rieši čisto manažérskymi metódami. V prvom rade je dôležité mať v organizačnej štruktúre spoločnosti mechanizmus na riešenie takýchto sporov. Obe služby môžu mať napríklad jedného šéfa, ktorý bude riešiť problémy ich interakcie. Po druhé, technologická a organizačná dokumentácia by mala jasne a kompetentne rozdeliť sféry vplyvu a zodpovednosti oddelení.

Problém 3. Osobné ambície a vzťahy na úrovni stredných a vyšších manažérov.

Vzťahy medzi lídrami môžu byť rôzne. Niekedy pri práci na štúdiu informačnej bezpečnosti jeden alebo druhý úradník prejaví prílišný záujem o výsledky týchto prác. Výskum je skutočne dostatočne účinný nástroj na vyriešenie ich konkrétnych problémov a uspokojenie ich ambícií. Závery a odporúčania zaznamenané v správe sa používajú ako plán pre ďalšie činnosti jedného alebo druhého prepojenia. „Voľná“ interpretácia záverov správy je možná aj v kombinácii s problémom 5 opísaným nižšie. Táto situácia je krajne nežiaducim faktorom, pretože skresľuje zmysel práce a vyžaduje si včasnú identifikáciu a elimináciu na úrovni vrcholového manažmentu podniku. Najlepšia možnosť obchodné vzťahy sú vtedy, keď sú záujmy organizácie v popredí, a nie osobné.

Problém 4. Nízka úroveň implementácie plánovaného akčného programu na vytvorenie systému informačnej bezpečnosti.

Ide o dosť banálnu situáciu, keď sa strategické ciele a zámery strácajú na úrovni realizácie. Všetko môže začať perfektne. O potrebe zlepšenia systému informačnej bezpečnosti rozhoduje generálny riaditeľ. Na vykonanie auditu je najatá nezávislá poradenská firma existujúci systém ochranu informácií. Po dokončení sa vygeneruje report, ktorý obsahuje všetky potrebné odporúčania na ochranu informácií, dopracovanie existujúceho workflow v oblasti informačnej bezpečnosti, zavedenie technických prostriedkov ochrany informácií a organizačných opatrení a ďalšiu podporu vytvoreného systému. Plán ochrany zahŕňa krátkodobé a dlhodobé opatrenia. Ďalšie odporúčania sa prenesú na vykonanie do jedného z oddelení. A tu je dôležité, aby sa neutopili v bažine byrokracie, osobných ambícií, malátnosti personálu a tuctu ďalších dôvodov. Dodávateľ môže byť slabo informovaný, nedostatočne kompetentný alebo jednoducho nemá záujem o vykonanie práce. Je dôležité, aby generálny riaditeľ monitoroval realizáciu plánovaného plánu, aby po prvé nestratil prostriedky investované do bezpečnosti v počiatočnej fáze a po druhé, aby neutrpel straty v dôsledku nedostatku tohto zabezpečenia. .

Problém 5. Nízka kvalifikácia špecialistov informačnej bezpečnosti.

Toto hľadisko nemožno považovať za závažnú prekážku, ak nie je prekážkou vytvorenia systému informačnej bezpečnosti. Faktom je, že plán ochrany spravidla zahŕňa také podujatie, ako je pokročilé školenie špecialistov v oblasti ochrany informácií v spoločnosti. Pre špecialistov z iných služieb je možné uskutočniť semináre o základoch organizácie informačnej bezpečnosti. Je potrebné správne posúdiť skutočnú kvalifikáciu zamestnancov podieľajúcich sa na realizácii plánu ochrany. Nesprávne závery alebo neschopnosť aplikovať metódy ochrany v praxi často vedie k ťažkostiam pri implementácii odporúčaných opatrení. Pri náznaku takýchto okolností by najsprávnejším východiskom bolo zlepšenie zručností špecialistov na informačnú bezpečnosť vo vzdelávacích centrách špeciálne vytvorených na tento účel.

Praktické aktivity v oblasti zlepšovania ekonomickej a informačnej bezpečnosti teda jednoznačne dokazujú, že vytvorenie reálneho systému informačnej bezpečnosti je vo veľkej miere závislé od včasného riešenia týchto problémov. Nazbierané skúsenosti však ukazujú, že všetky diskutované problémy je možné úspešne vyriešiť, ak budú zástupcovia objednávateľa a vykonávajúcej spoločnosti úzko spolupracovať. Hlavnou vecou je uvedomiť si dôležitosť vykonávania takejto práce, včas identifikovať existujúce hrozby a uplatniť primerané protiopatrenia, ktoré sú spravidla špecifické pre každý konkrétny podnik. Prítomnosť túžby a príležitostí je dostatočnou podmienkou pre plodnú prácu, ktorej účelom by bolo vytvorenie integrovaného systému na zabezpečenie bezpečnosti organizácie.

Predchádzajúce

Odoslanie dobrej práce do databázy znalostí je jednoduché. Použite nižšie uvedený formulár

Študenti, postgraduálni študenti, mladí vedci, ktorí pri štúdiu a práci využívajú vedomostnú základňu, vám budú veľmi vďační.

Hostené na http://www.allbest.ru/

PROJEKT KURZU

V disciplíne „Bezpečnosť informácií“

K téme

„Zlepšenie systému informačnej bezpečnosti na

podnik LLC "Rúra"

Úvod

Keď už hovoríme o informačnej bezpečnosti, v súčasnosti to znamená počítačovú bezpečnosť. Skutočne, informácie v elektronické média zohráva čoraz dôležitejšiu úlohu v modernej spoločnosti. Zraniteľnosť takýchto informácií je spôsobená množstvom faktorov: obrovské objemy, viacbodový a prípadná anonymita prístupu, možnosť „sabotáže informácií“... To všetko dáva za úlohu zabezpečiť bezpečnosť informácií umiestnených v počítačového prostredia, oveľa ťažší problém ako povedzme zachovanie tajomstva klasickej poštovej korešpondencie.

Ak hovoríme o bezpečnosti informácií uložených na tradičných médiách (papier, fotografické výtlačky atď.), tak ich bezpečnosť sa dosiahne dodržiavaním opatrení fyzická ochrana(t. j. ochrana pred neoprávneným vstupom do priestoru na ukladanie médií). Ďalšie aspekty ochrany takýchto informácií súvisia s prírodnými katastrofami a katastrofami spôsobenými ľudskou činnosťou. Pojem „počítačovej“ informačnej bezpečnosti ako celku je teda vo vzťahu k „tradičným“ médiám širší ako informačná bezpečnosť.

Ak hovoríme o rozdieloch v prístupoch k riešeniu problému informačnej bezpečnosti na rôznych úrovniach (štátna, regionálna, úroveň jednej organizácie), tak takéto rozdiely jednoducho neexistujú. Prístup k zaisteniu bezpečnosti Štátneho automatizovaného systému „Voľby“ sa nelíši od prístupu k zaisteniu bezpečnosti lokálna sieť v malej firme. Zásady zaistenia informačnej bezpečnosti sú preto v tomto príspevku uvažované na príkladoch činnosti samostatnej organizácie.

Účelom projektu kurzu je zlepšiť systém informačnej bezpečnosti spoločnosti Oven LLC. úlohy ročníková práca bude - analýza spoločnosti Oven LLC, jej zdrojov, štruktúry a existujúceho systému informačnej bezpečnosti v podniku a hľadanie spôsobov na jeho zlepšenie.

V prvej fáze bude vykonaná analýza systému informačnej bezpečnosti. Na základe získaných výsledkov sa v druhej fáze vyhľadajú metódy na zlepšenie ochrany informácií, ak existujú slabé stránky v tomto systéme.

1. Analýza systému informačnej bezpečnosti v spoločnosti Oven LLC

1.1 Charakteristika podniku. Organizačná štruktúra podniku. Služba zaoberajúca sa informačnými zdrojmi a ich ochranou

Úplný názov spoločnosti je Spoločnosť s ručením obmedzeným „Aries“. Skrátený názov spoločnosti je Oven LLC. Ďalej v texte Spoločnosť. Spoločnosť nemá žiadne pobočky a zastúpenia, jej jediné centrum sa nachádza v regióne Perm, okres Suksunsky, obec Martyanovo.

Spolok vznikol v roku 1990 ako malá farma a mal troch zakladateľov. Po reorganizácii farmy na roľnícke hospodárstvo v roku 1998 zostal jediný zriaďovateľ. Posledná reorganizácia prebehla v apríli 2004. Od 1. apríla sa podnik stal známym pod názvom Aries Limited Liability Company.

Hlavnou činnosťou firmy je pestovanie poľnohospodárskych produktov, osivového materiálu, predaj poľnohospodárskych produktov. Dnes v Rusku spoločnosť zaujíma trináste miesto medzi zemiakovými farmami a prvé na území Perm.

Adresa sídla: Rusko, 617553, Permské územie, Suksunskij, obec Martyanovo.

Ciele podniku ako celku:

· Poberanie zisku z hlavnej činnosti.

· Zvýšenie konkurencieschopnosti produktov a rozšírenie odbytových trhov.

· Koncentrácia kapitálu a zvýšenie investičných zdrojov na realizáciu investičných a iných projektov.

Podnikateľské poslanie spoločnosti:

1. Naďalej zaujímajte vedúce postavenie na trhu.

2. Vytvorenie semennej farmy.

Organizačná štruktúra podniku.

Spoločnosť využíva lineárno-funkčnú štruktúru. V lineárno-funkčnej štruktúre sa vytvára hierarchia služieb. V tejto štruktúre majú vedúci funkčných jednotiek právo dávať príkazy ďalšej úrovni riadenia o funkčných otázkach.

Štruktúra podniku je znázornená na obrázku 1.

Hostené na http://www.allbest.ru/

Hostené na http://www.allbest.ru/

Obrázok 1 - Organizačná štruktúra spoločnosti Aries LLC

1.2 Analýza a charakteristika informačných zdrojov podniku

Dnes sa každý zaujíma o bezpečnosť podnikových informácií. Jednotlivé programy aj celé komplexy určené na ochranu dát sú čoraz populárnejšie. Nikto však nemyslí na to, že môžete mať toľko, koľko chcete. spoľahlivú ochranu ale aj tak prehrať dôležitá informácia. Pretože jeden z vašich zamestnancov to bude považovať za bezvýznamné a vystaví to verejnosti. A ak ste si istí, že ste pred tým chránení, potom ste na veľkom omyle. Na prvý pohľad táto situácia vyzerá ako niečo neskutočné, ako vtip. To sa však stáva a stáva sa to často. Technický personál, ktorý sa v drvivej väčšine prípadov zaoberá otázkami informačnej bezpečnosti, totiž nie vždy rozumie tomu, ktoré údaje by mali byť skryté a ktoré nie. Aby ste to pochopili, musíte si rozložiť všetky informácie odlišné typy, ktoré sa zvyčajne nazývajú typy a jasne vymedzujú hranice medzi nimi.

V skutočnosti všetky spoločnosti špecializujúce sa na dodávky komplexných systémov na zaistenie bezpečnosti počítačových informácií berú do úvahy rozdelenie údajov na odlišné typy. Tu si treba dávať pozor. Faktom je, že západné produkty dodržiavajú medzinárodné normy (najmä ISO 17799 a niektoré ďalšie). Všetky údaje sú podľa nich rozdelené do troch typov: otvorené, dôverné a prísne dôverné. Zatiaľ sa u nás podľa platnej legislatívy používa trochu iné rozlíšenie: otvorené informácie, na interné použitie a dôverné.

Otvorená znamená akúkoľvek informáciu, ktorú možno voľne preniesť na iné osoby, ako aj umiestniť do médií. Najčastejšie sa prezentuje vo forme tlačových správ, vystúpení na konferenciách, prezentáciách a výstavách, samostatných (prirodzene, pozitívnych) prvkov štatistiky. Okrem toho tento sup zahŕňa všetky údaje získané z otvorených externých zdrojov. A za verejné sa, samozrejme, považujú aj informácie určené pre firemný web.

Na prvý pohľad sa zdá, že otvorené informácie nepotrebujú ochranu. Ľudia však zabúdajú, že dáta sa dajú nielen ukradnúť, ale aj nahradiť. Preto je udržiavanie integrity otvorených informácií veľmi dôležitou úlohou. V opačnom prípade sa namiesto vopred pripravenej tlačovej správy môže ukázať ako nepochopiteľná. Alebo Hlavná stránka firemná webová stránka bude nahradená urážlivými nápismi. Preto je potrebné chrániť aj verejné informácie.

Ako každý iný podnik, aj spoločnosť otvorené informácie obsiahnuté najmä v prezentáciách zobrazovaných potenciálnym investorom.

Informácie na interné použitie zahŕňajú všetky údaje, ktoré zamestnanci používajú pri plnení svojich pracovných povinností. To však nie je všetko. Táto kategória zahŕňa všetky informácie, ktoré si medzi sebou vymieňajú rôzne oddelenia alebo pobočky na zabezpečenie ich výkonu. A napokon posledným typom údajov spadajúcim do tejto kategórie údajov sú informácie získané z otvorených zdrojov a podrobené spracovaniu (štrukturalizácia, úprava, objasnenie).

V skutočnosti všetky tieto informácie, aj keď sa dostanú do rúk konkurentov alebo narušiteľov, nemôžu spôsobiť vážne škody spoločnosti. Nejaká škoda z jej únosu však stále môže byť. Predpokladajme, že zamestnanci zozbierali správy pre svojho šéfa na tému, ktorá ho zaujíma, spomedzi ktorých si vybrali najdôležitejšie správy a označili ich. Takýto súhrn je jednoznačne informácia na interné použitie (informácie získané z otvorených zdrojov a podrobené spracovaniu). Na prvý pohľad sa zdá, že konkurenti, ktorí ho získajú, z neho nebudú môcť ťažiť. V skutočnosti však vedia odhadnúť, akým smerom sa zaujíma vedenie vašej spoločnosti, a ktovie, možno sa im podarí aj vás predbehnúť. Preto informácie pre interné použitie musia byť chránené nielen pred zámenou, ale aj pred neoprávneným prístupom. Je pravda, že vo veľkej väčšine prípadov sa môžete obmedziť na bezpečnosť miestnej siete, pretože nie je ekonomicky výhodné utrácať za to veľké sumy.

Tento typ informácií je prezentovaný aj v podniku, ktorý je obsiahnutý v rôznych druhoch správ, zoznamov, výpisov atď.

Dôverné informácie – zdokumentované informácie, ku ktorým je v zmysle zákona obmedzený prístup Ruská federácia, ktorý nie je verejne dostupný a v prípade jeho zverejnenia je spôsobilý poškodiť práva a právom chránené záujmy toho, kto ho poskytol. Zoznam údajov súvisiacich s týmto krkom zriaďuje štát. Zapnuté tento moment ide o: osobné údaje, informácie tvoriace obchodné, služobné alebo služobné tajomstvo, informácie, ktoré sú tajomstvom vyšetrovania a kancelárskej práce. Navyše, v poslednom čase boli údaje o podstate vynálezu alebo vedeckého objavu pred ich oficiálnym zverejnením klasifikované ako dôverné.

Dôverné informácie v podniku zahŕňajú také údaje ako: plán rozvoja, výskumné práce, technická dokumentácia, výkresy, rozdelenie zisku, zmluvy, správy, zdroje, partneri, rokovania, zmluvy, ako aj informácie riadiaceho a plánovacieho charakteru.

Spoločnosť má asi dvadsať počítačov. Pokiaľ ide o prítomnosť lokálnej siete v podniku, počítače v spoločnosti nie sú spojené do jednej siete. Všetky počítače sú navyše vybavené štandardnou zostavou kancelárske programy A účtovné programy. Tri počítače majú prístup na internet cez WAN Miniport. Zároveň ani jeden počítač v podniku nie je vybavený antivírusovým programom. Výmena informácií sa uskutočňuje prostredníctvom médií: flash disky, diskety. Všetky informácie o „tradičných“ médiách sa nachádzajú v skrinkách, ktoré nie sú uzamknuté. Najdôležitejšie dokumenty sú uložené v trezore, kľúče od ktorého má sekretárka.

bezpečnosť ochrany informácií

1.3 Hrozby a prostriedky ochrany informácií v podniku

Ohrozenie informačnej bezpečnosti - súbor podmienok a faktorov, ktoré vytvárajú potenciálne alebo reálne nebezpečenstvo spojené s únikom informácií a/alebo neoprávneným a/alebo neúmyselným ovplyvňovaním.

Podľa spôsobov ovplyvňovania objektov informačnej bezpečnosti podliehajú ohrozenia relevantné pre spoločnosť tejto klasifikácii: informačné, softvérové, fyzické, organizačné a právne.

Informačné hrozby zahŕňajú:

Neoprávnený prístup k informačným zdrojom;

Krádež informácií z archívov a databáz;

Porušenie technológie spracovania informácií;

nezákonné zhromažďovanie a používanie informácií;

Medzi softvérové ​​hrozby patria:

počítačové vírusy a malvér;

Fyzické hrozby zahŕňajú:

Zničenie alebo zničenie zariadení na spracovanie a komunikáciu informácií;

Krádež pamäťových médií;

Vplyv na personál

Organizačné a právne hrozby zahŕňajú:

Obstarávanie nedokonalých alebo zastaraných informačných technológií a prostriedkov informatizácie;

Nástroje informačnej bezpečnosti sú súbor inžinierskych, elektrických, elektronických, optických a iných zariadení a zariadení, prístrojov a technické systémy, ako aj ďalšie reálne prvky používané na riešenie rôznych problémov ochrany informácií vrátane zamedzenia úniku a zaistenia bezpečnosti chránených informácií.

Zvážte nástroje informačnej bezpečnosti používané v podniku. Celkovo sú štyri (hardvérové, softvérové, zmiešané, organizačné).

Hardvérová ochrana- zámky, mreže na oknách, bezpečnostné alarmy, sieťové filtre, video monitorovacie kamery.

Softvérové ​​ochrany: používajú sa nástroje operačného systému ako ochrana, heslo, účty.

Organizačné prostriedky ochrany: príprava priestorov počítačmi.

2 Zlepšenie systému informačnej bezpečnosti

2.1 Zistené nedostatky v systéme informačnej bezpečnosti

Najzraniteľnejším bodom ochrany informácií v spoločnosti je ochrana počítačová bezpečnosť. Aj pri povrchnej analýze podniku možno identifikovať tieto nedostatky:

§ Informácie sú zriedka zálohované;

§ Nedostatočná úroveň softvéru pre bezpečnosť informácií;

§ Niektorí zamestnanci nemajú dostatočné znalosti práce s PC;

§ Neexistuje žiadna kontrola nad zamestnancami. Zamestnanci môžu často opustiť pracovisko bez toho, aby museli vypnúť počítač a mať flash disk so servisnými informáciami.

§ Nedostatok normatívnych dokumentov o informačnej bezpečnosti.

§ Nie všetky počítače používajú nástroje OS, ako sú heslá a účty.

2.2 Ciele a ciele formovania systému informačnej bezpečnosti v podniku

Hlavným cieľom systému informačnej bezpečnosti je zabezpečiť stabilnú prevádzku zariadenia, predchádzať ohrozeniu jeho bezpečnosti, chrániť oprávnené záujmy podniku pred neoprávneným zásahom, zabrániť krádeži finančných prostriedkov, prezradeniu, strate, úniku, skresleniu a zničeniu úradné informácie, zabezpečujúce bežnú výrobnú činnosť všetkých oddelení zariadenia. Ďalším cieľom systému informačnej bezpečnosti je zvyšovanie kvality poskytovaných služieb a garantovanie bezpečnosti vlastníckych práv a záujmov.

Úlohy formovania systému informačnej bezpečnosti v organizácii sú: integrita informácií, spoľahlivosť informácií a ich dôvernosť. Keď sú úlohy splnené, cieľ bude realizovaný.

Tvorba systémov informačnej bezpečnosti (ISS) v IS a IT je založená na nasledujúcich princípoch:

Systematický prístup k budovaniu systému ochrany, pod ktorým sa rozumie optimálna kombinácia vzájomne súvisiacich organizačných, softvérových, hardvérových, fyzických a iných vlastností, potvrdená praxou tvorby domácich a zahraničných ochranných systémov a využívaná vo všetkých fázach technologického cyklu spracovania informácií. .

Princíp neustáleho vývoja systému. Tento princíp, ktorý je jedným zo základných princípov počítačových informačných systémov, je pre NIS ešte relevantnejší. Spôsoby implementácie hrozieb pre informácie v IT sa neustále zdokonaľujú, a preto zaistenie bezpečnosti IP nemôže byť jednorazovým úkonom. Ide o nepretržitý proces, ktorý spočíva v zdôvodňovaní a implementácii najracionálnejších metód, metód a spôsobov zlepšovania ISS, priebežného monitorovania, identifikácie jej úzkych miest a slabín, potenciálnych kanálov úniku informácií a nových metód neoprávneného prístupu.

Oddelenie a minimalizácia právomocí pre prístup k spracovaným informáciám a procesom spracovania, t. j. poskytnúť používateľom aj samotným zamestnancom IS minimum presne definovaných právomocí postačujúcich na výkon služobných povinností.

Úplnosť kontroly a evidencie pokusov o neoprávnený prístup, t. j. potreba presného zistenia totožnosti každého používateľa a zaznamenanie jeho akcií pre prípadné vyšetrovanie, ako aj nemožnosť vykonávať akúkoľvek operáciu spracovania informácií v IT bez predchádzajúcej registrácie.

Zabezpečenie spoľahlivosti ochranného systému, t.j. nemožnosť zníženia úrovne spoľahlivosti v prípade porúch, porúch, úmyselného konania hackera alebo neúmyselných chýb používateľov a personálu údržby v systéme.

Zabezpečenie kontroly nad fungovaním ochranného systému, t.j. vytváranie prostriedkov a metód na monitorovanie výkonu ochranných mechanizmov.

Poskytovanie všetkých druhov nástrojov proti malvéru.

Zabezpečenie ekonomickej realizovateľnosti používania ochranného systému, ktorá je vyjadrená prevyšovaním možného poškodenia IS a IT z implementácie hrozieb nad náklady na vývoj a prevádzku ISS.

2.3 Navrhované opatrenia na zlepšenie systému informačnej bezpečnosti organizácie

Zistené nedostatky v podniku vyžadujú ich odstránenie, preto sú navrhnuté nasledovné opatrenia.

§ Pravidelné zálohovanie databázy s osobnými údajmi zamestnancov spoločnosti, s účtovnými údajmi a inými databázami dostupnými v podniku. Predídete tak strate údajov v dôsledku zlyhania disku, výpadku napájania, vírusov a iných nehôd. Starostlivé plánovanie a pravidelné postupy Rezervovať kópiu umožňuje rýchle obnovenie údajov v prípade straty.

§ Používanie nástrojov OS na každom počítači. Vytváranie účtov pre špecialistov a pravidelné zmeny hesiel pre tieto účty.

§ Školenie zamestnancov podniku na prácu s počítačmi. Nevyhnutná podmienka pre správnu prevádzku na pracovných staniciach a predchádzanie strate a poškodeniu informácií. Práca celého podniku závisí od zručností personálu PC z hľadiska správneho vykonania.

§ Inštalácia antivírusových programov na počítače ako: Avast, NOD, Doctor Web a tak ďalej. Vyhnete sa tak infikovaniu počítačov rôznymi škodlivými programami nazývanými vírusy. Čo je veľmi dôležité pre tento podnik, keďže niekoľko počítačov má prístup na internet a zamestnanci používajú flash médiá na výmenu informácií.

§ Vykonávanie kontroly zamestnancov pomocou videokamier. Tým sa znížia prípady neopatrnej manipulácie so zariadením, riziko krádeže a poškodenia zariadenia a umožní sa aj kontrola „odstránenia“ oficiálnych informácií z územia spoločnosti.

§ Vypracovanie regulačného dokumentu „Opatrenia na ochranu informácií v Oven LLC a zodpovednosť za ich porušenie“, ktorý by bol v súlade s platnou legislatívou Ruskej federácie a určoval riziká, porušenia a zodpovednosť za tieto porušenia (pokuty, tresty). Rovnako ako urobiť príslušný stĺpec v pracovnej zmluve spoločnosti, že je oboznámený a zaväzuje sa dodržiavať ustanovenia tohto dokumentu.

2.4 Efektívnosť navrhovaných aktivít

Navrhované opatrenia so sebou nesú len pozitíva, ako je eliminácia hlavných problémov v podniku súvisiacich s informačnou bezpečnosťou. Zároveň si však budú vyžadovať ďalšie investície do školenia personálu a vypracovania regulačných dokumentov týkajúcich sa bezpečnostnej politiky. Bude si to vyžadovať dodatočné mzdové náklady a úplne neodstráni riziká. Vždy tu bude ľudský faktor, vyššia moc. Ak sa však takéto opatrenia neprijmú, náklady na obnovu informácií a stratené príležitosti budú stáť viac ako tie, ktoré sú potrebné na vývoj bezpečnostného systému.

Zvážte výsledky navrhovaných opatrení:

1. Zvýšenie spoľahlivosti systému informačnej bezpečnosti organizácie;

2. Zvyšovanie úrovne PC odbornosti personálu;

3. Znížené riziko straty informácií;

4. Dostupnosť regulačného dokumentu definujúceho bezpečnostnú politiku.

5. Prípadne znížiť riziko zadávania/odstraňovania informácií z podniku.

3 Model informačnej bezpečnosti

Prezentovaný model informačnej bezpečnosti (obrázok 2) je súborom objektívnych vonkajších a vnútorných faktorov a ich vplyvu na stav informačnej bezpečnosti v zariadení a na bezpečnosť materiálnych alebo informačných zdrojov.

Obrázok 2 - Model systému informačnej bezpečnosti

Tento model je v súlade so špeciálnymi regulačnými dokumentmi na zaistenie informačnej bezpečnosti prijatými v Ruskej federácii, medzinárodnou normou ISO/IEC 15408 „Informačné technológie – metódy ochrany – kritériá hodnotenia informačnej bezpečnosti“, normou ISO/IEC 17799 „Manažment informačnej bezpečnosti“ “, a zohľadňuje vývojové trendy domáceho regulačného rámca (najmä Štátnej technickej komisie Ruskej federácie) v otázkach informačnej bezpečnosti.

Závery a ponuky

Informačný vek priniesol dramatické zmeny v spôsobe, akým si ľudia plnia svoje povinnosti v mnohých profesiách. Teraz môže stredný netechnický špecialista vykonávať prácu, ktorú robil vysokokvalifikovaný programátor. Zamestnanec má k dispozícii toľko presných a aktuálnych informácií, koľko nikdy nemal.

Používanie počítačov a automatizovaných technológií však vedie k mnohým problémom pre manažment organizácie. Počítače, často prepojené v sieti, môžu poskytnúť prístup k obrovskému množstvu rôznych údajov. Ľudia sa preto obávajú bezpečnosti informácií a rizík spojených s automatizáciou a poskytovaním oveľa väčšieho prístupu k dôverným, osobným alebo iným kritickým údajom. Počet počítačových zločinov neustále narastá, čo môže v konečnom dôsledku viesť k podkopávaniu ekonomiky. A tak by malo byť jasné, že informácie sú zdrojom, ktorý je potrebné chrániť.

A keďže automatizácia viedla k tomu, že teraz operácie s počítačová technológia sú vykonávané radovými zamestnancami organizácie, a nie špeciálne vyškoleným technickým personálom, je potrebné, aby si koncoví používatelia uvedomovali svoju zodpovednosť za ochranu informácií.

Neexistuje jediný recept, ktorý by poskytoval 100% záruku bezpečnosti dát a spoľahlivej prevádzky siete. Avšak vytvorenie komplexného, ​​premysleného bezpečnostného konceptu, ktorý zohľadňuje špecifiká úloh konkrétnej organizácie, pomôže minimalizovať riziko straty cenných informácií. Počítačová bezpečnosť je neustály boj proti hlúposti používateľov a inteligencii hackerov.

Na záver by som chcel povedať, že ochrana informácií sa neobmedzuje len na technické metódy. Problém je oveľa širší. Hlavným nedostatkom ochrany sú ľudia, a preto spoľahlivosť bezpečnostného systému závisí najmä od postoja zamestnancov spoločnosti k nemu. Okrem toho sa ochrana musí neustále zlepšovať spolu s rozvojom počítačovej siete. Nezabudnite, že do práce nezasahuje bezpečnostný systém, ale jeho absencia.

Zhrnutím výsledkov tohto projektu kurzu by som tiež rád poznamenal, že po analýze systému informačnej bezpečnosti podniku Aries sa zistilo päť nedostatkov. Po hľadaní boli nájdené riešenia na ich odstránenie, tieto nedostatky je možné opraviť, čím sa zlepší informačná bezpečnosť podniku ako celku.

V rámci uvedených akcií boli vypracované praktické a teoretické zručnosti štúdia systému informačnej bezpečnosti, čím bol cieľ projektu kurzu naplnený. Vďaka nájdeným riešeniam môžeme konštatovať, že všetky úlohy projektu boli splnené.

Bibliografia

1. GOST 7.1-2003. Bibliografický záznam. Bibliografický popis. Všeobecné požiadavky a pravidlá zostavovania (M.: Vydavateľstvo noriem, 2004).

2. Galatenko, V.A. „Základy informačnej bezpečnosti“. - M.: "Intuit", 2003.

3. Zavgorodniy, V. I. „Integrovaná ochrana informácií v počítačové systémy". - M.: "Logos", 2001.

4. Zegzhda, D.P., Ivashko, A.M. „Základy bezpečnosti informačných systémov“.

5. Nosov, V.A. Úvodný kurz k disciplíne „Bezpečnosť informácií“.

6. Federálny zákon Ruskej federácie z 27. júla 2006 N 149-FZ „O informáciách, informačné technológie a ochranu informácií"

Hostené na Allbest.ru

Podobné dokumenty

Charakteristika informačných zdrojov poľnohospodárskeho podniku "Ashatli". Hrozby informačnej bezpečnosti špecifické pre podnik. Opatrenia, metódy a prostriedky ochrany informácií. Analýza nedostatkov existujúceho a výhod aktualizovaného bezpečnostného systému.

semestrálna práca, pridaná 2.3.2011


Všeobecné informácie o činnosti podniku. Objekty informačnej bezpečnosti v podniku. Opatrenia a prostriedky ochrany informácií. Kopírovanie údajov na vymeniteľné médium. Inštalácia interného záložného servera. Efektívnosť zlepšovania systému IS.

test, pridané 29.08.2013


Pojem, význam a smerovanie informačnej bezpečnosti. Systematický prístup k organizácii informačnej bezpečnosti, ktorá chráni informácie pred neoprávneným prístupom. Prostriedky ochrany informácií. Metódy a systémy informačnej bezpečnosti.

abstrakt, pridaný 15.11.2011


Systém formovania režimu informačnej bezpečnosti. Úlohy informačnej bezpečnosti spoločnosti. Prostriedky ochrany informácií: základné metódy a systémy. Ochrana informácií v počítačových sieťach. Ustanovenia najdôležitejších legislatívnych aktov Ruska.

abstrakt, pridaný 20.01.2014


Analýza rizík informačnej bezpečnosti. Hodnotenie existujúcich a plánovaných prostriedkov ochrany. Súbor organizačných opatrení na zabezpečenie informačnej bezpečnosti a ochrany podnikových informácií. Kontrolný príklad realizácie projektu a jeho popis.

práca, pridané 19.12.2012


Stratégia podnikovej informačnej bezpečnosti vo forme systému účinných politík, ktoré by definovali efektívny a dostatočný súbor bezpečnostných požiadaviek. Identifikácia hrozieb pre informačnú bezpečnosť. Vnútorná kontrola a riadenie rizík.

semestrálna práca, pridaná 14.06.2015


Popis komplexu úloh a zdôvodnenie potreby zlepšenia systému zabezpečenia informačnej bezpečnosti a ochrany informácií v podniku. Vypracovanie projektu využitia DBMS, informačnej bezpečnosti a ochrany osobných údajov.

práca, pridané 17.11.2012


Regulačné dokumenty v oblasti informačnej bezpečnosti v Rusku. Analýza hrozieb informačných systémov. Charakteristika organizácie systému ochrany osobných údajov kliniky. Implementácia autentifikačného systému pomocou elektronických kľúčov.

práce, pridané 31.10.2016


Predpoklady na vytvorenie systému zabezpečenia osobných údajov. Ohrozenie informačnej bezpečnosti. Zdroje neoprávneného prístupu k ISPD. Zariadenie informačných systémov osobných údajov. Prostriedky ochrany informácií. bezpečnostná politika.

semestrálna práca, pridaná 10.7.2016


Úlohy, štruktúra, fyzické, softvérové ​​a hardvérové ​​opatrenia na ochranu informačného systému. Druhy a príčiny počítačových zločinov, spôsoby zlepšenia bezpečnostnej politiky organizácie. Účel a hlavné funkcie priečinka "Denník" MS Outlook 97.