Как разработать систему анализа информационной безопасности

Андрей Голов

Сегодня многие российские компании решают задачи создания системы информационной безопасности (системы ИБ), которая соответствовала бы «лучшим практикам» и стандартам в области ИБ и отвечала современным требованиям защиты информации по параметрам конфиденциальности, целостности и доступности. Причем, этот вопрос важен не только для «молодых» компаний, развивающих свой бизнес с использованием современных информационных технологий управления. Не менее, а скорее и более важной эта проблема является для предприятий и организаций, давно работающих на рынке, которые приходят к необходимости модернизировать существующую у них систему ИБ.

С одной стороны, необходимость повышения эффективности системы ИБ связана с обострением проблем защиты информации. Здесь можно упомянуть, во-первых, растущую потребность обеспечения конфиденциальности данных. Российские компании, вслед за своими западными коллегами, приходят к необходимости учитывать так называемые репутационные риски, ответственность по обеспечению конфиденциальности данных своих клиентов, субподрядчиков, партнеров. Вместе с тем, в большинстве российских компаний организационная составляющая системы ИБ проработана слабо. Например, данные как таковые зачастую не классифицированы, то есть компания не имеет четкого представления о том, какие у нее есть типы данных с позиций их конфиденциальности, критичности для бизнеса. А это влечет за собой целый ряд проблем, начиная от сложностей в обосновании адекватности мероприятий по защите информации и заканчивая невозможностью при возникновении инцидента использовать правовые методы их расследования.

Еще одна острая проблема в сфере защиты данных связана с обеспечением непрерывности функционирования информационных систем. Для многих современных компаний, прежде всего, финансовых организаций, производственных холдингов, крупных дистрибьюторов бесперебойная работа информационных систем, поддерживающих основной бизнес, и доступность данных становятся критичным вопросом. Сбои в работе систем ведут к прерыванию бизнес-процессов и, соответственно, к недовольству клиентов, штрафам и другим потерям. А в обеспечении доступности данных немаловажную роль играют системы защиты, предотвращающие злонамеренные атаки на информационную систему (атаки типа «отказ в обслуживании» и др.).

С другой стороны, в большинстве крупных компаний имеет место унаследованная «лоскутная» автоматизация. Развитие корпоративной информационной системы (ИС) осуществляется довольно хаотично; немногие компании опираются на продуманную ИТ-стратегию или планы развития ИС. Обычно используется политика «латания дыр», новые ИТ-сервисы добавляются без привязки к уже существующим и без учета их взаимосвязи. И точно так же отсутствует продуманная архитектура системы ИБ, мало кто до настоящего времени определял, насколько система ИБ полная, насколько она покрывает риски, избыточна она или, наоборот, недостаточна и т.д. И что немаловажно – система ИБ редко бывает обоснованной экономически.

Опыт работы нашей компании свидетельствует, что построение эффективной системы ИБ должно опираться на анализ рисков (в том числе анализ возможного ущерба), который является основой при выборе технических подсистем, их экономическом обосновании. Плюс комплекс организационных мер и создание системы управления ИБ (системы управления информационными рисками). И, наконец, соблюдение выверенных на практике принципов построения системы ИБ, например, принципа «многоэшелонированной» защиты.

Таким образом, при построении (модернизации) системы ИБ целесообразно реализовывать цикл работ (рис. 1), включающий обязательный этап диагностического обследования с оценкой уязвимостей информационной системы и угроз, на основе которого производится проектирование системы и ее внедрение.

Рис. 1. Полный цикл работ по обеспечению информационной безопасности

Для построения эффективной системы информационной безопасности, выбор и внедрение адекватных технических средств защиты должен предваряться анализом угроз, уязвимостей информационной системы и на их основе — анализом рисков информационной безопасности. Выбор программно-аппаратного обеспечения защиты и проектирование систем ИБ основывается на результатах такого анализа с учетом экономической оценки соотношения «стоимость контрмер по снижению рисков / возможные потери компании от инцидентов информационной безопасности».

Таким образом, построение системы ИБ компании целесообразно начинать с комплексного диагностического обследования основных бизнес-процессов и информационной системы компании, а также существующих средств контроля ИБ. Обследование (аудит) существующей системы информационной безопасности позволит установить, соответствует ли уровень безопасности информационно-технологических ресурсов компании выдвигаемым требованиям, то есть обеспечиваются ли необходимые параметры конфиденциальности, целостности и доступности ресурсов информационной системы. В ходе диагностического обследования проводится анализ рисков. Для проверки способности информационной системы противостоять попыткам несанкционированного доступа и воздействия на информацию иногда целесообразно выполнять тесты на проникновение.

Существует несколько видов обследования:

При проведении диагностического обследования/аудита системы ИБ последовательно выполняются следующие работы:

Каждый этап работ имеет реальные, контролируемые результаты, что позволяет обеспечить эффективный контроль проекта на всем его протяжении.

В процессе обследования и анализа системы информационной безопасности также идентифицируются «владельцы» ИТ-ресурсов (включая автоматизированные системы и корпоративные данные) и лица, ответственные за целостность этих ресурсов. Устанавливаются требования к системе разделения прав доступа (пароли, разрешения), включая все правила доступа к информационной системе компании. ИТ-ресурсы классифицируются по степени важности/критичности.

Проверяются все процедуры безопасности, в том числе поддержка системы ИБ, процесс расследования нарушений ИБ, организация системы резервного копирования, разграничение прав пользователей, процедуры удаленного доступа, защиты учетных записей и др. Определяются лица, ответственные за развитие и поддержку системы ИБ.

В ходе анализа и моделирования возможных сценариев атак на систему ИБ выявляются ситуации, которые могут привести к нарушению нормального «течения» бизнес-процессов. Определяются возможные последствия несоответствия системы ИБ политике безопасности компании.

Если обследование выполняется сторонней организацией, то на всех стадиях проекта необходимо привлечение к работам персонала компании-заказчика. Это гарантирует учет основных требований, специфики и интересов обследуемой компании.

Существенным преимуществом привлечения к аудиту внешнего исполнителя (компании-интегратора) является возможность использования накопленного консультантом опыта при анализе каждого компонента системы ИБ на соответствие требованиям по обеспечению информационной безопасности, в том числе и с позиции «лучшей практики» для конкретной индустрии.

В результате руководителям и заинтересованным менеджерам предоставляется детальный отчет с рекомендациями по изменению или дополнению существующей инфраструктуры системы ИБ. Составляется список необходимых мероприятий по обеспечению информационной безопасности в соответствии с требованиями международных (ISO 17799, ISO 13335) или национальных стандартов (Стандарт ЦБ РФ, СТР-К, NIST SP800-14, BSI и др.), техническими требованиями поставщиков решений в области ИБ (CISCO, Check Point и др.), рекомендациями NSA (National Security Agency).

Следующим этапом построения системы ИБ является ее проектирование, включая систему управления ИБ.

Задача проектирования системы ИБ тесно связана с понятием архитектуры системы ИБ. Построение архитектуры системы ИБ, как интегрированного решения, соблюдение баланса между уровнем защиты и инвестициями в систему ИБ обеспечивают ряд преимуществ: интеграция подсистем позволяет снизить совокупную стоимость владения, повысить коэффициент возврата инвестиций при внедрении и улучшает управляемость системы ИБ, а следовательно, возможности отслеживания событий, связанных с ИБ.

Интегрированная архитектура системы ИБ

К идеологии и созданию комплексной архитектуры системы ИБ компания TopS BI пришла после многих лет работы с крупными компаниями по проектам обеспечения ИБ. Высокая эффективность системы ИБ может быть достигнута, если все ее компоненты представлены качественными решениями, функционируют как единый комплекс и имеют централизованное управление. Система безопасности должна строиться на основе анализа рисков, и стоимость ее внедрения и поддержки должна быть адекватной существующим угрозам, то есть экономически обоснованной.

Интегрированная архитектура систем ИБ включает в себя набор следующих подсистем:

источник

Разработка системы защиты информационной безопасности Нижегородского архитектурно-строительного университета. Изучение состава аппаратных и программных средств и структуры сети. Физическая безопасность объектов. Определение угроз информационной системы.

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Федеральное государственное автономное образовательное учреждение высшего профессионального образования

Национальный исследовательский университет

Факультет информатики, математики и компьютерных наук

Выпускная квалификационная работа

На тему: «Разработка модели системы информационной безопасности на предприятии»

1. ИЗУЧЕНИЕ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПРЕДПРИЯТИЯ

1.2 Состав аппаратных и программных средств и структура сети

1.3 Анализ информационных потоков

1.4 Анализ информационных ресурсов

1.5 Физическая безопасность объектов (охрана)

2. АНАЛИЗ И РАЗРАБОТКА МОДЕЛИ УГРОЗ

2.1 Классификация и анализ источников угроз и уязвимостей безопасности

2.3 Определение актуальных угроз информационной системы

2.4 Определение класса защищенности информационной системы

3. РАЗРАБОТКА МОДЕЛИ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

3.1 Анализ на соответствие стандартам и существующим политикам

3.2 Разработка политики информационной безопасности

4. РАЗРАБОТКА ПОРТАЛА ПЕРВИЧНОЙ АВТОРИЗАЦИИ

4.2 Требования к функциональности портала

Обеспечение безопасности информационных ресурсов давно стало предметом обсуждения во многих учреждениях, в совокупности с развитием информационных технологий это привело к развитию автоматизированных систем. Эффективная система информационной безопасности позволяет минимизировать риски, связанные с информацией, и способствует стабильной деятельности информационных потоков предприятия.

Безопасность государственных учреждений, таких как высшие учебные заведения, также требует высокого уровня информационной защищенности.

Информационные активы ВУЗа составляют огромное количество сведений об учебной деятельности, по деятельности сотрудников с различным уровнем доступа. Работники и студенты ВУЗа также отличный пример лиц с различными правами доступа к информации. Поэтому было решено разработать эффективный комплекс мер для обеспечения информационной безопасности ВУЗа.

Целью дипломной работы является разработка комплекса мер, направленного на обеспечение информационной безопасности ВУЗа на примере Нижегородского Государственного Архитектурно — Строительного Университета.

Предметом исследования в дипломной работе является система защиты информационной безопасности Нижегородского Государственного Архитектурно-Строительного Университета.

Дипломная работа состоит из четырех глав. В первой главе представлено описание информационной системы организации, анализ информационных ресурсов и технических средств. Во второй главе проанализированы потенциальные угрозы системы и определена модель нарушителя. В третьей главе разработана политика информационной безопасности. Четвертая глава в форме пояснительной записки содержит процесс реализации портала первичной авторизации.

На современном этапе развития общества информационные технологии являются неотъемлемой его частью. Информация стала одним из основных средств социального — экономического, технического и научного прогресса мирового сообщества. Развитие информационных технологий и расширение информационного пространства приводит к постоянно растущему уровню атак и нарушений в этой области, что делает проблемы информационной безопасности всё более актуальными. Под информационной безопасностью понимается состояние защищенности информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб владельцам или пользователям информации.

Обеспечения информационной безопасности является одним из ключевых факторов стабильного функционирования любого предприятия. На сегодняшний день конфиденциальность, целостность и доступность информации является важным аспектом непрерывности бизнеса, поэтому всё большее число организаций сосредоточены на вопросе информационной безопасности. Таким образом, существует необходимость в эффективной и интегрированной системе информационной безопасности.

Довольно часто, при создании информационной системы, организации стремятся обезопасить свои информационные активы лишь на аппаратном и программном уровнях защиты. Но такой уровень безопасности является неэффективным и должен быть подкреплен нормами и правилами в области информационной безопасности.

Подготовка и реализация системы безопасности в учреждении должна осуществляться на основании существующего законодательства и нормативных требований в сфере информационной безопасности. Основным документом является Конституция РФ, согласно которой «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается». Другими базовыми документами в области информационной безопасности являются Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации», в соответствии с которым, необходимо обеспечивать защиту информации от несанкционированного доступа, модификации, уничтожения, копирования и распространения данных. Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» регулирует действия, связанные с обработкой персональных данных государственными учреждениями, с использованием автоматизированных систем.

Также следует брать во внимание закон РФ «О государственной тайне» и закон РФ «О коммерческой тайне», который регламентирует порядок отнесения информации к служебной тайне, режим служебной тайны и порядок разглашения служебных данных. Также существует ряд законов, в соответствии с которыми формируются уровни конфиденциальности информации («Об утверждении Перечня сведений конфиденциального характера»; «Об утверждении Перечня сведений, отнесенных к государственной тайне»; «Об утверждении Перечня сведении, которые не могут составлять коммерческую тайну»).

В целом, законодательные РФ не учитывают и регулируют в полной мере хранение и использование конфиденциальных данных.

Основными регламентами обеспечения безопасности со стороны процедурного и аппаратно — программного уровней являются стандарты и спецификации. Это документы, содержащие испытанные, высококачественные методологии и средства обеспечения безопасности.

В соответствии со стандартами, обеспечение безопасности объектов информационной системы должно состоять из следующих этапов:

– выделение целей обеспечения информационной безопасности;

– проектирование действенной системы управления;

– анализ и оценка соответствия поставленным целям;

– анализ исходного состояния защищенности;

Стандарт ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий) содержит наиболее полные критерии безопасности программно — аппаратного уровня. Общие критерии устанавливают требования по функциональности безопасности. Помимо программно — аппаратного уровня защиты стандарт описывает некоторые требования методов безопасности организационного уровня и физической защиты. Стандарт состоит из трех частей:

– первая часть включает понятийный аппарат, представление модели и методологию оценки безопасности информационных технологий;

– вторая часть содержит непосредственно требования функциональности аппаратно — программных средств;

– в третьей части приводятся требования гарантий безопасности;

Стандарт ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) содержит наиболее полные критерии организационного уровня. Стандарт содержит наиболее эффективные правила управления информационной безопасностью и критерии оценки методов безопасности организационного уровня, с учетом административных, процедурных и физических средств защиты. Стандарт содержит следующие разделы:

– организация информационной безопасности;

– безопасность человеческих ресурсов;

– администрирование информационных систем;

– разработка и сопровождение информационных систем;

– планирование непрерывной работы;

– контроль выполнения требований безопасности;

Руководящий документ Гостехкомиссии РФ «Критерии оценки безопасности информационных технологий». Это документ разработан в соответствии с ГОСТ Р ИСО/МЭК 15408-2002 и обеспечивает его практическое использование. Основная цель РД — реализация комплексных методов по обеспечению безопасности информационных систем и использование необходимого функционала. Он направлен на проектирование систем безопасности соответствующих возможным угрозам и сохраняющих баланс между эффективностью и стоимостью.

Руководящий документ Гостехкомиссии РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». Этот РД определяет классификацию АС и в соответствии с классом определяет требования к возможным подсистемам.

Руководящий документ Гостехкомиссии РФ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Первый РД, который не имеет зарубежных аналогов. Основная идея данного РД — классификация межсетевых экранов в соответствии с сетевой моделью OSI, которая фильтрует потоки данных.

На сегодняшний день в сфере реализации систем безопасности сформировалось такое понятие как «лучшая практика». «Лучшая практика» это такие политики безопасности, которые отражают наилучшие процедуры, средства, руководства и стандарты безопасности и могут быть применимы как эталон при разработке системы безопасности. Эталонными считаются политики таких компаний, как Microsoft, IBM, Symantec и др.

Специалисты компании Symantec утверждают, что основой эффективной системы безопасности являются руководящие документы, к числу которых можно отнести: политики безопасности, международные стандарты, описание процедур обеспечения безопасности и метрики. Все эти руководящие документы способны ответить на три основных вопроса:

— почему нужно защищать информацию?

— что нужно предпринять для обеспечения безопасности?

— как реализовать политику в соответствии с требованиями?

Разработка комплексной системы безопасности должна включать следующие этапы: анализ информационных активов;

– идентификация возможных угроз;

– анализ и оценка рисков безопасности;

– назначение лиц, ответственных за обеспечение безопасности;

– создание комплексной системы, в соответствии со стандартами, руководствами и процедурами;

– управление системой безопасности;

Стратегия информационной политики компании Microsoft содержит четыре основных компонента:

– цель обеспечения информационной безопасности компании;

– нормы системной безопасности

– схема принятия решений (строится по результатам анализа рисков);

– определение действий по минимизации рисков;

Процесс разработки политики безопасности разделен на четыре категории:

– организационная (направленная на повышение осведомленности и расширение знаний сотрудников в сфере информационной безопасности, а также на поддержку руководства);

– данные и пользователи (включает такие средства защиты как: авторизация, защита персональных данных, аутентификация);

– разработка системы (разработка защищенной системы, сокращение поверхности атаки, обеспечение простоты использования);

– сопровождение (регулярный контроль и журналирование системы, реагирование на происшествия и инциденты);

Для поддержания уровня защищенности компания применяет контроль информационных рисков (идентификация, оценка и минимизация рисков). Такой подход позволяет достигнуть баланса между требованиями и методикой защиты.

Специалисты компании IBM выделяют четыре основных этапа построения системы безопасности:

– идентификация информационных рисков и методов борьбы с ними;

– описание мер защиты активов в соответствии с задачами и целями компании;

– описание действий при происшествиях;

– анализ остаточных рисков и принятие решение о дополнительном капиталовложении в методы обеспечения безопасности;

Ответ на вопрос «Что нужно защищать?» — основной аспект политики информационной безопасности, в соответствии со стратегией IBM. Политика должна создаваться с целью минимальных её изменений в будущем. Эффективная политика безопасности должна содержать:

– цели и задачи обеспечения информационной безопасности;

– взаимодействие со стандартами безопасности и законодательством;

– расширение знаний по вопросам информационной безопасности;

– выявление и ликвидация вирусных атак;

– обеспечение непрерывности деятельности;

– установление ролей и обязанностей персонала;

– журналирование инцидентов нарушения безопасности;

Далее идет процесс создания документации, которая содержит правила анализа рисков компании, описание рекомендуемых методов и средств защиты и так далее. Документация может подлежать изменениям в соответствии с актуальными уязвимостями и угрозами.

Однако, помимо правовой основы, система информационной безопасности и её функции по обеспечению состоянию защищенности объекта должны быть реализованы в соответствии с нижеизложенными принципами:

– легитимность (создание системы информационной безопасности, а также реализация мероприятий по защите, не противоречащих законодательству и нормативам);

– комплексность (разрабатываемая система защиты предусматривает комплексную реализацию методов, обеспечивает защиту информационных ресурсов на техническом и организационном уровнях и предотвращает возможные пути реализации угроз);

– постоянность (обеспечивает непрерывную защиту объектов);

– прогрессивность (подразумевает непрерывное развитие средств и методов защиты, в соответствии с развитием технологий и методов атак);

– рациональность (использование экономически выгодных и эффективных средств защиты);

– ответственность (каждый сотрудник ручается за обеспечение безопасности в рамках своих полномочий);

– контроль (предполагает постоянный контроль над обеспечением защиты и своевременное выявление угроз);

– использование действующей системы безопасности (проектируемая система создается на основе действующей системы, с использованием штатных аппаратных и программных средств);

– использование аппаратно — программных компонентов защиты отечественного производства (проектирование системы безопасности предусматривает преобладание отечественных технических средств защиты);

– этапность (проектирование системы безопасности предпочтительнее делать поэтапно);

Проанализировав существующие политики и стандарты информационной безопасности можно утверждать, что для обеспечения надлежащего уровня информационной защиты требуется комплекс мер, включающий в себя функции программного обеспечения, политики безопасности, методы и организационные структуры. В соответствии с этим и с основной целью необходимо выполнить следующие задачи:

– изучить исходную информационную и организационную структуру ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет»;

– по результатам анализа исходной информационной системы определить конкретные угрозы и уязвимости информационной безопасности;

– определить уровень и класс исходной защищенности объекта;

– выявить актуальные угрозы;

– составить модель нарушителя;

– сопоставить исходную систему с требованиями стандартов безопасности;

– разработать политику безопасности и определить действия по обеспечении информационной безопасности;

Выполнение вышеизложенных целей и задач позволит создать эффективную систему информационной безопасности предприятия, отвечающую требованиям законодательства и стандартам информационной безопасности.

Дата создания образовательной организации: 23 июня 1930 года.

Полное наименование организации: Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Нижегородский государственный архитектурно-строительный университет». Сокращенные наименования: ННГАСУ, ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет». Полное наименование на английском языке: Nizhny Novgorod State University of Architecture and Civil Engineering.

Сокращенное наименование на английском языке: NNGASU.

Место нахождения ВУЗа: 603950, Нижегородская область, г. Нижний Новгород, ул. Ильинская, д. 65.

Учредитель ВУЗа — Российская Федерация. Функции и полномочия учредителя ВУЗа осуществляет Министерство Образования и Науки Российской Федерации.Место нахождения Учредителя: 125993, г. Москва, ул. Тверская, 11.Ректор — Андрей Александрович Лапшин

ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет» является некоммерческой организацией, создан с целью развития экономики и социальной среды региона, отрасли и России посредством повышения уровня образования студентов на основе достижений науки, инноваций и технологий.

Основные направления деятельности ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет»:

· Подготовка конкурентоспособных, на российском и международном рынке труда, специалистов строительной и смежных отраслей, на основе современных образовательных стандартов и научных исследований;

· Обеспечение способного выдержать конкуренцию научного потенциала, задействованного в реальных секторах экономики страны;

· Создание и совершенствование условий необходимых для самореализации, а также профессионального роста сотрудников и студентов;

· Развитие межвузовской кооперации на российском и международном уровне и укрепление положения на международной арене;

Общее управление ВУЗом осуществляет Ученый совет, в состав которого входят: Ректор (председатель Ученого совета), проректоры, деканы факультетов (по решению Ученого совета). Также в организационную структуру ВУЗа входят управления, центы, отделы и другие подразделения. Подробная организационная структура представлена на рисунке 1.

Рисунок 1. Организационная структура ФГБОУ ВПО «Нижегородский государственный архитектурно-строительный университет»

Нижегородский государственный архитектурно — строительный университет, с непрерывно развивающейся структурой и модернизированной учебной и научной базой, в современных условиях представляет собой активно прогрессирующий комплекс. Университет обладает большой информационной базой, которая содержится в специализированных программных продуктах. Информационная защита учреждения представлена на достаточно высоком уровне, но в рамках постоянно прогрессирующих атак и нарушений, требует усовершенствования.

источник

Курсовая работа: Совершенствование системы информационной безопасности на предприятии ООО Нива Уинского

по дисциплине: «Информационная безопасность «

«Совершенствование системы информационной безопасности на предприятии ООО «Нива» Уинского района»

Актуальность проблемы защиты информации сегодня не вызывает сомнений. Успех современной компании и ее развитие в условиях острой конкуренции в значительной степени зависят от применения информационных технологий, а следовательно, от степени обеспечения информационной безопасности.

Любое предприятие располагает различными видами информации, представляющими интерес для злоумышленников. Прежде всего, это коммерческие данные, информация, являющаяся интеллектуальной собственностью предприятия и конфиденциальные данные.

Поэтому защите информации от неправомерного овладения ею отводится весьма значительное место. При этом «целями защиты информации являются: предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствие с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения».

Как видно из этого определения целей защиты, информационная безопасность — довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита.

Для того чтобы отразить подход организации к защите своих информационных активов необходимо разработать политику информационной безопасности. Каждое предприятие должно осознать необходимость поддержания соответствующего режима безопасности и выделения на эти цели значительных ресурсов.

Политика информационной безопасности — свод документов, в которых рассматриваются вопросы организации, стратегии, методов и процедур в отношении конфиденциальности, целостности и доступности информационных ресурсов предприятия. Политика безопасности строится на основе анализа рисков — процесса определения угроз безопасности системы и отдельным ее компонентам, определение их характеристик и потенциального ущерба.

Конечная цель разработки политики информационной безопасности — обеспечить целостность, доступность и конфиденциальность для каждого информационного ресурса.

Обследуемое предприятие ООО «Нива» циркулирует большое количество информации конфиденциального характера, доступ к которой необходимо ограничить. Поэтому, целью будет являться разработка такой системы по защите информации, при которой угрозы утечки конфиденциальной информации будут минимальны.

Приемы и способы исследования

При изучении всей структуры предприятия использовались следующие методы:

Аналитический метод — основан на анализе собранной информации за конкретный период. Он включает: анализ конкретного рабочего процесса, разделение его на элементы, проектирование рациональных режимов работы оборудования, организации труда и необходимых затрат времени по элементам трудового процесса, установление норм на операции.

Сбор (изучение) документооборота — сбор документов осуществлялся на всех этапах проведения обследования. Документы являются обоснованием и обеспечением создаваемой модели деятельности и документооборота.

Интервьюирование — важнейший и необходимый метод обследования, только с его помощью возможно разобраться во всех тонкостях применяемых на предприятии технологий. Современное предприятие — сложнейшая система, как оно функционирует, не знает ни один человек. Интервьюирование являлось наиболее сложной задачей: необходимо найти контакт с сотрудником и направить беседу в необходимое для аналитика русло.

На основе собранной информации проводился анализ информационной безопасности предприятия.

Объектом обследования является предприятие ООО «Нива», входящее в структуру Агрохолдинга ООО «Управляющая компания «Ашатли», г. Пермь. Агрохолдинг состоит из следующих составляющих:

1) Молочное животноводство

2. ООО «Горы» Осинский район

3. ООО «АгроСепыч» Верещагинский район

2) Переработка молочного сырья

3) Растениеводство (кормозаготовка, овощи открытого грунта, семеноводство)

4. ООО «Михино» Ординский район

4) Тепличное направление (овощи закрытого грунта, зелень, розы)

5. ООО «Тепличный комбинат», г. Чайковский

5) Мясное направление (откорм, убой, переработка)

6. ООО «Очерское мясо» Очерский район

6) Земельное направление (управление землями)

7. ООО «Ашатли Инвест», г. Пермь

Подробное географическое расположение объектов представлено на рис.1.1.

Рисунок 1.1 — Географическое расположение объектов агрохолдинга «Ашатли»

Общество с ограниченной ответственностью «Нива» Уинского района Пермской области образовано 1 января 2002 года на базе бывшего подразделения ПСХ «Нива» предприятия «Пермтрансгаз», именуемое в дальнейшем «Общество». До 21 сентября 2005 года учредителями Общества являлись предприятие «Пермтрансгаз» и директор ООО «Нива» Зомарев Иван Дмитриевич, а начиная с 21 сентября 2005 года единственным учредителем становится ООО «Тулым». Общество создано в соответствии с законодательством РФ, и действует на основании настоящего Устава и законодательства Российской Федерации. Общество имеет расчетный счет в банке, круглую печать со своим наименованием, эмблему, штампы, бланки и другие реквизиты. Предприятие имеет самостоятельный баланс.

Юридический и почтовый адрес: 617530 Пермский край, Уинский район, село Аспа, улица Молодежная-1а.

Землепользование Общества расположено в западной части Уинского района. Административно-хозяйственный центр — с. Аспа. Расстояние до районного центра с. Уинское — 18 километров, до железнодорожной станции города Чернушка — 45 километров, до областного центра город Пермь — 200 километров. Связь с пунктами сдачи сельскохозяйственной продукции и железнодорожной станцией осуществляется автомобильным транспортом по дороге с асфальтовым покрытием.

Организационная структура представляет собой совокупность производственных, вспомогательных и обслуживающих подразделений. Основной формой организации труда является производственная бригада, состав которых и численность зависят от направления цеха, принятой технологии и уровня механизации.

Основными видами деятельности Общества являются производство молока, мяса, зерна. Хозяйство имеет свой молочный завод, где занимается переработкой молока, производя сыр, масло, творог, сметану.

Общество занимается семеноводством зерновых культур и многолетних трав.

Основной целью деятельности общества является следующие:

расширение и развитие производства;

выпуск качественной продукции.

Миссии и ценности компании

несем инновации в сельское хозяйство,

заботимся о здоровье людей.

Главной целью является развитие, расширение и стремление достичь высших результатов в сельскохозяйственной деятельности, применяя современные технологии, используя научно-технический прогресс, при этом не забывая о здоровье людей. Выпускаемая продукция должна соответствовать всем требованиям качества и полезности, при этом быть доступной для всех категорий граждан (приемлемые цены).

лидерство, ответственность, командность.

Каждый работник должен обладать лидерскими качествами, умением принимать правильное и быстрое решение, быть ответственным. Ведь только при едином сплоченном коллективе возможно достижение поставленных целей.

Организационная структура ООО «Нива» (приложение А) сформированная с целью обеспечения достижения целей Общества, построена по линейно-функциональному признаку. Предприятие осуществляет свою деятельность в соответствии с действующим законодательством Российской Федерации и Уставом предприятия.

Руководителем является управляющий директор. В подчинении у управляющего директора находятся главный бухгалтер, главный экономист, главный агроном, начальник цеха молочного животноводства, начальник молочного завода, главный инженер и главный строитель. Заместители управляющего директора, контролируют работу управлений, которым подчинены различные отделы. Каждый отдел подчиняется начальнику отдела и действует строго в соответствии с пунктом 4 «ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ РАБОТНИКОВ» правил внутреннего трудового распорядка УК «Ашатли».

Конкретная служба по защите информации на предприятии отсутствует. Поэтому ответственность за защищаемую информацию несет специалист по управлению персоналом. Данная документация обрабатываются путем строгого контроля изъятия и возвращения документов под расписку уполномоченного работника. За информацию, относящуюся к коммерческой тайне, несут ответственность следующие служащие предприятия: начальники, бухгалтера, экономисты, инженеры.

Исследуемое предприятие содержит следующие информационные ресурсы:

информация, относящаяся к коммерческой тайне:

· договоры с поставщиками и покупателями,

· содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности,

· прочие разработки и документы для внутреннего пользования;

· информация на web-сайте www.ashatli-agro.ru,

Угрозы и уязвимости на предприятии

1. Автоматизированное рабочее место сотрудника

Название: Совершенствование системы информационной безопасности на предприятии ООО Нива Уинского
Раздел: Рефераты по менеджменту
Тип: курсовая работа Добавлен 18:48:04 12 мая 2011 Похожие работы
Просмотров: 8230 Комментариев: 11 Оценило: 3 человек Средний балл: 5 Оценка: неизвестно Скачать

Угроза	Уязвимости
1. Физический доступ нарушителя к рабочему месту	1. Отсутствие системы контроля доступа сотрудников к чужим рабочим местам
1. Физический доступ нарушителя к рабочему месту	2. Отсутствие системы видеонаблюдения на предприятии
2. Разглашение конфиденциальной информации, хранящейся на рабочем месте сотрудника организации	1. Отсутствие соглашения о неразглашении между работником и работодателем
	2. Нечеткая регламентация ответственности сотрудников предприятия
3. Разрушение (повреждение, утрата) конфиденциальной информации при помощи специализированных программ и вирусов	1. Отсутствие ограничения доступа пользователей к сети интернет и к внутренней корпоративной сети

2. Конфиденциальная информация

Угроза	Уязвимости
1. Физический доступ нарушителя к носителям	1. Неорганизованность контрольно-пропускного режима в организации
1. Физический доступ нарушителя к носителям	2. Отсутствие видеонаблюдения в организации
2. Разглашение конфиденциальной информации, используемой в документах, вынос носителей за пределы контролируемой зоны	1. Отсутствие соглашения о неразглашении конфиденциальной информации
	2. Нечеткое распределение ответственности за документы (носители конфиденциальной информации) между сотрудниками организации
3. Несанкционированное копирование, печать и размножение носителей конфиденциальной информации	1. Нечеткая организация конфиденциального документооборота в организации
	2. Неконтролируемый доступ сотрудников к копировальной и множительной технике

На предприятии существует угрозы доступности, угрозы целостности и угрозы конфиденциальности информации.

1. Угрозами доступности информации являются:

разрушение (уничтожение) информации: вирус, повреждение оборудования, чрезвычайная ситуация (пожар);

отказ поддерживающей инфраструктуры: нарушение работы систем связи, электроэнергии, теплоснабжения, кондиционирования, повреждение помещения.

Мерами предотвращения данных угрозы может являться следующее:

— Установка программы антивируса.

— Осуществление резервного копирования данных на съемные носители для быстрого восстановления утерянных данных во время системной ошибки.

— Установка аварийных источников бесперебойного питания.

— Подвод электроэнергии не менее от двух независимых линий электропередачи.

— Плановое обслуживание зданий и в целом всей поддерживающей инфраструктуры.

2. Угрозами целостности информации являются:

нарушение целостности со стороны персонала: ввод неверных данных, несанкционированная модификация информации, кража информации, дублирование данных;

потеря информации на жестких носителях;

угрозы целостности баз данных;

угрозы целостности программных механизмов работы предприятия.

Мерами предотвращения данной угрозы может являться следующее:

— Введение и частая смена паролей.

— Использование криптографических средств защиты информации.

3. Угрозами конфиденциальности являются:

делегирование лишних или неиспользуемых полномочий на носитель с конфиденциальной информацией;

установка нелицензионного ПО;

Анализ состояния информационной безопасности на предприятии позволяет выявить следующие угрозы:

1. Заражение компьютерными вирусами через съёмные носители информации, компьютерную сеть, сеть Интернет;

2. Ошибки штатных сотрудников, т.е. неверный ввод данных или изменение данных;

3. Внутренний отказ информационной системы, т.е. отказ программного или аппаратного обеспечения, повреждение аппаратуры;

4. Угрозы технического характера;

5. Угрозы нетехнического или некомпьютерного характера — отсутствие паролей, конфиденциальная информация, связанная с информационными системами хранится на бумажных носителях;

6. Несанкционированный доступ к информации (использование ресурсов без предварительно полученного разрешения). При этом могут совершаться следующие действия: несанкционированное чтение информации, несанкционированное изменение информации, а также несанкционированное уничтожение информации;

7. Кража программно-аппаратных средств и т.д.

Защита информации на предприятии осуществляется комплексно и включает в себя меры следующих уровней:

1. Законодательный уровень защиты информации — это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил.

Основными законодательными актами, регулирующими вопросы информационной безопасности предприятия, являются:

— Гражданский кодекс РФ ст.139;

— Уголовный кодекс гл.28 ст.272, 273, 274, 138, 183;

— Закон Российской Федерации «Об информации, информатизации и защите информации»;

— Закон Российской Федерации «О коммерческой тайне».

2. Административный уровень информационной безопасности.

Политика информационной безопасности пока не утверждена.

3. Организационный уровень защиты информации .

Организационные меры являются решающим звеном формирования и реализации комплексной защите информации. Эти меры играют существенную роль в создании надежного механизма защиты информации, т.к. возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, небрежностью пользователей или персонала защиты.

Организационные меры защиты информации на предприятии реализованы следующим образом:

— Организован контроль, соблюдение временного режима труда и пребывания персонала на территории организации;

— Организована работа с документами и документированной информацией, т.е. ведется учет, исполнение, возврат, хранение носителей конфиденциальной информации.

В качестве недостатков данного уровня защиты можно указать следующие факты.

Несмотря на то, что предприятие переходит на программу «1С: Предприятие», бухгалтерия предпочитает работать со старыми АРМами, реализованными под MS DOS. Это связано с тем, что персонал за неимением навыков работы и времени не очень желает осваивать новый программный продукт.

Небрежность персонала, выраженная в недостаточном знании правил защиты конфиденциальной информации, непониманием необходимости тщательного их выполнения. Например, многие важные документы лежат на столах свободно, что может привести к их использованию посторонними лицами.

4. Программно-технические меры защиты информации — это совокупность аппаратных и программных средств и мероприятий по их использованию в интересах защиты конфиденциальности информации.

На предприятии осуществляется управление доступом путем деления информации по соответствующим должностям и полномочиям доступа к ней, т.е. спецификация и контроль действий пользователей над информационными ресурсами организации.

Программно-аппаратные средства защиты информации:

1. SHDSL-модем с возможностью работать в режиме маршрутизатора для закрытия сети от проникновения извне.

SHDSL модем ZyXEL предназначен для создания корпоративной сети, в основе которой лежит скоростное двунаправленное соединение по медным проводам. Используется для объединения двух офисов по одной или по двум медным парам в режиме «точка-точка» с организацией симметричного скоростного полнодуплексного соединения. Модем имеет возможность работать в режиме моста или маршрутизатора. Встроена система обнаружения и предотвращения вторжений (Intrusion Detection System — IDS).

2. Антивирусная система ESET NOD 32 для защиты от компьютерных вирусов.

Производится нерегулярное обновление баз и сканирование рабочих станций.

3. Встроенный Windows Backup для создания архивов.

OS Backup Wizard — программа, предназначенная для быстрого создания и восстановления резервной копии Windows. Она позволяет создать копию всей Windows или только отдельных файлов и папок.

4. Шифрование с ключом 2048 бит для канала vpn (подключение к офису управляющей компании для работы почты и документооборота).

При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий — области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно — технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.

Современные технологии программирования не позволяют создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения информационной безопасности.

Проанализировав информационную безопасность предприятия можно сделать вывод, что информационной безопасности уделяется недостаточное внимание:

— Отсутствие паролей доступа в систему;

— Отсутствие паролей при работе программой с 1С: Предприятие, при изменении данных;

— отсутствует дополнительная защита файлов и информации (отсутствует элементарный запрос пароля при открытии или изменении информации в файлах, не говоря уже о средствах шифрования данных);

— нерегулярное обновление баз программы антивируса и сканирование рабочих станций;

— большое количество документов на бумажных носителях в основном лежат в папках (иногда и без них) на рабочем столе сотрудника, что позволяет злоумышленникам без труда воспользоваться данного рода информациях в своих целях;

— не производится регулярное обсуждение вопросов информационной безопасности на предприятии и возникающих проблем в этой области;

— не организована регулярная проверка работоспособности информационных систем предприятия, отладка производится только лишь в том случае, когда они выходят из строя;

— отсутствие политики информационной безопасности;

— отсутствие системного администратора.

Все вышеперечисленное является очень важными недостатками обеспечения информационной безопасности предприятия.

Безопасность информации — состояние защищенности информационных ресурсов в вычислительных сетях и системах предприятия от несанкционированного доступа, случайного или преднамеренного вмешательства в нормальное функционирование систем, попыток разрушения её компонентов.

предотвращение угроз безопасности предприятия вследствие несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации или иных форм незаконного вмешательства в информационные ресурсы и информационных системах;

сохранение коммерческой тайны, обрабатываемой с использованием средств вычислительной техники;

защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах.

Для достижения целей защиты должно обеспечиваться эффективное решение следующих задач:

· защита от вмешательства в процесс функционирования предприятия посторонних лиц;

· защита от несанкционированных действий с информационными ресурсами предприятия посторонних лиц и сотрудников, не имеющих соответствующих полномочий;

· обеспечение полноты, достоверности и оперативности информационной поддержки принятия управленческих решений руководством предприятия;

· обеспечение физической сохранности технических средств и программного обеспечения предприятия и защита их от действия техногенных и стихийных источников угроз;

· регистрация событий, влияющих на безопасность информации, обеспечения полной подконтрольности и подотчетности выполнения всех операций, совершаемых на предприятии;

· своевременное выявление, оценка и прогнозирование источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба интересам субъектов, нарушению нормального функционирования и развития предприятия;

· анализ рисков реализации угроз безопасности информации и оценка возможного ущерба, предотвращение неприемлемых последствий нарушения безопасности информации предприятия, создание условий для минимизации и локализации наносимого ущерба;

· обеспечение возможности восстановления актуального состояния предприятия при нарушении безопасности информации и ликвидации последствий этих нарушений;

· создание и формирование целенаправленной политики безопасности информации предприятия.

Для выполнения поставленных целей и решению задач необходимо провести мероприятия на уровнях информационной безопасности.

Административный уровень информационной безопасности.

Для формирования системы информационной безопасности необходимо разработать и утвердить политику информационной безопасности.

Политика безопасности — это совокупность законов, правил и норм поведения, направленных на защиту информации и ассоциированных с ней ресурсов.

Следует отметить, что разрабатываемая политика должна согласовываться с существующими законами и правилами, относящимися к организации, т.е. эти законы и правила необходимо выявлять и принимать во внимание при разработке политики.

Чем надежнее система, тем строже и многообразнее должна быть политика безопасности.

В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность системы.

Организационный уровень защиты информации .

Исходя из недостатков, описанных в предыдущем разделе, можно предложить следующие мероприятия по улучшению защиты информации:

— Организация работ по обучению персонала навыкам работы с новыми программными продуктами при участии квалифицированных специалистов;

— Разработка необходимых мероприятий направленных на совершенствовании системы экономической, социальной и информационной безопасности предприятия.

— Провести инструктаж для того, чтобы каждый сотрудник осознал всю важность и конфиденциальность вверенной ему информации, т.к., как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимания (или недопонимания) необходимости их тщательного соблюдения.

— Строгий контроль соблюдения сотрудниками правил работы с конфиденциальной информацией;

— Контроль соблюдения правил хранения рабочей документации сотрудников предприятия;

— Плановое проведение собраний, семинаров, обсуждений по вопросам информационной безопасности предприятия;

— Регулярная (плановая) проверка и обслуживание всех информационных систем и информационной инфраструктуры на работоспособность.

— Назначить системного администратора на постоянной основе.

Программно-технические меры защиты информации.

Программно-технические средства являются одними из важнейших компонентов в реализации информационной защите предприятия, поэтому для повышения уровня защиты информации необходимо ввести и применить следующие мероприятия:

— Введение паролей пользователей;

Для регулирования доступа пользователей к информационным ресурсам предприятия необходимо ввести список пользователей, которые будут входить в систему под своим логином. С помощью ОС Windows Server 2003 Std, установленной на сервере, можно создать список пользователей с соответствующими паролями. Пароли раздать работникам с соответствующим инструктажем их использования. Также необходимо ввести срок действия пароля, по истечению которого пользователю будет предложено поменять пароль. Ограничить число попыток входа в систему с неверным паролем (например, до трех).

— Введение запроса паролей в программе 1С: Предприятии при работе с БД, при изменении данных. Это можно выполнить с помощью программных средств ПК и программы.

— Разграничение доступа к файлам, каталогам, дискам.

Разграничение доступа к файлам и каталогам будет осуществляться системным администратором, который разрешит доступ к соответствующим дискам, папкам и файлам для каждого пользователя конкретно.

— Регулярное сканирование рабочих станций и обновление баз антивирусной программы.

Позволит обнаруживать и нейтрализовать вредоносные программы, ликвидировать причины заражений. Необходимо выполнить работы по установке, настройке и обеспечению функционирования средств и систем антивирусной защиты.

Для этого необходимо настроить программу антивируса на регулярное сканирование ПК и регулярное обновление баз с сервера.

— Установка на компьютер-сервер сетевого экрана Agnitum Outpost FireWall, который блокирует атаки из сети Интернет.

Преимущества использования сетевого экрана Agnitum Outpost FireWall:

¾ контролирует соединения компьютера с другими, блокируя хакеров и предотвращая несанкционированный внешний и внутренний доступ к сети.

¾ локальная безопасность отслеживает поведение программ и их взаимодействие для обеспечения проактивной защиты от несанкционированной активности, блокируя троянцев, шпионские программы и все изощренные хакерские методики взлома компьютеров и кражи личных данных.

¾ эффективный сканер вредоносных программ автоматически обнаруживает и изолирует или удаляет вирусы, шпионские программы и другое вредоносное ПО.

— Анализ защищенности объектов вычислительной сети

Возможно использование программы «Сканер-ВС», предназначенной для анализа защищенности вычислительных сетей от внутренних и внешних угроз.

«Сканер-ВС» выполняет следующие функции:

Анализ защищенности сети или отдельных ее сегментов от различных внешних и внутренних угроз

Инвентаризация сетевых ресурсов — сбор информации об отдельных узлах сети (зарегистрированные пользователи, рабочая группа/домен, IP-адрес, сервисы и многое другое)

Максимальное снижение вероятности успешной атаки на защищаемые объекты

Тестирование сети на устойчивость к взлому с учетом выявленных и устраненных уязвимостей

Основные возможности системы:

¾ обеспечение загрузки доверенной среды на основе ОС МСВС

¾ автоматическое определение сетевого оборудования, подключенного к вычислительной сети

¾ поиск остаточной информации на накопителях, подключенных к узлам сети (поддерживаются различные кодировки)

¾ сетевой и локальный аудит паролей

¾ инвентаризация ресурсов компьютерной сети (узлов, портов, сервисов)

¾ поиск уязвимостей обнаруженных сервисов, проверка возможности осуществления типовых DoS-атак

¾ анализ сетевого трафика (в т. ч. в коммутируемых сетях), извлечение из трафика парольной информации для множества протоколов

— Программа защиты от спама.

Обеспечение защиты от спама пользователей и технической поддержке средств, осуществляющих данную защиту. Защита осуществляется путем маркировки нежелательных почтовых сообщений приходящих на почтовый ящик пользователя.

Возможно использование программы antispam СПАМОЕД, программа позволяющая блокировать спам на компьютере. Spamoed — это ПО для борьбы со спамом, обеспечивающее фильтрацию почты. Основные принципы работы программы заключается в том, что программа Spamoed может как сама удалять ненужную пользователю электронную почту, так и вкупе с TheBat, Outlook и другими почтовыми клиентами; а также работать совместно с небольшими (до 50 почтовых ящиков) почтовыми серверами.

— Применение источников бесперебойного питания;

Наиболее надежным средством предотвращения потерь информации при кратковременном отключении электроэнергии в настоящее время является установка источников бесперебойного питания (UPS). Различные по своим техническим и потребительским характеристикам, подобные устройства могут обеспечить питание всей локальной сети или отдельного компьютера в течение какого-то промежутка времени, достаточного для восстановления подачи напряжения или для сохранения информации на магнитные носители. В противном случае используется следующая функция подобных устройств — компьютер получает сигнал, что UPS перешел на работу от собственных аккумуляторов и время такой автономной работы ограничено. Тогда компьютер выполняет действия по корректному завершению всех выполняющихся программ и отключается (команда SHUTDOWN). Большинство источников бесперебойного питания одновременно выполняет функции и стабилизатора напряжения, является дополнительной защитой от скачков напряжения в сети. Многие современные сетевые устройства — серверы, концентраторы, мосты и т.д. — оснащены собственными дублированными системами электропитания.

— Криптографическое преобразование информации.

Криптографическая защита информации предоставляется с целью обеспечения режима конфиденциальности и целостности информации при ее передачи по каналам передачи данных.

Помогите выбрать конкретное программное средство. Ну надо шифрование какое-либо применять или необязательно — запуталась я, ваще запуталась…вот в этом главный вопрос!)

Протоколирование и аудит является неотъемлемой частью обеспечения информационной безопасности. Эти понятия подразумевают сбор, накопление и анализ событий происходящих в информационной системе в реальном времени.

Реализация протоколирования и аудита решает следующие задачи:

· обеспечение подотчетности пользователей и администраторов;

· обеспечение возможности реконструкции последовательности событий;

· обнаружение попыток нарушений информационной безопасности;

· предоставление информации для выявления и анализа проблем.

При протоколировании события рекомендуется записывать, по крайней мере, следующую информацию:

¾ уникальный идентификатор пользователя — инициатора действия;

¾ результат действия (успех или неудача);

¾ источник запроса (например, имя терминала);

¾ имена затронутых объектов (например, открываемых или удаляемых файлов);

¾ описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта).

Эффективность системы ИБ и труда администраторов средств информационной безопасности будет чрезвычайно низкой при отсутствии средств сбора, анализа, хранения информации о состоянии системы ИБ, централизованного управления всеми ее составляющими. Дело в том, что каждое средство защиты реализует некоторую составляющую политики безопасности, которая на уровне подсистем задается набором параметров и требований. Политике ИБ должны соответствовать не только каждая подсистема или средство защиты, но и система ИБ в целом. Отслеживание работоспособности компонентов системы, примененных правил и других событий в системе ИБ требует наличия средств мониторинга и управления. Для проведения анализа собираемых данных, построения отчетов и принятия управляющих решений необходимы средства мониторинга, аудита и генерации отчетов.

В рамках курсового проекта была проанализирована информационная безопасность предприятия, были предложены мероприятия по ее улучшению. Реализация мероприятий позволит:

— Разграничить права доступа в систему.

— Повысить уровень защищенности информации каждого пользователя в отдельности и системы в целом.

— Разработать и внедрить политику информационной безопасности, которая будет направлена на защиту информации и ассоциированных с ней ресурсов.

— Уменьшить количество спама.

— Отражать вредоносные атаки через сеть.

— Повысить уровень защиты рабочих станций.

Модель информационной безопасности предприятия представлена на рисунке 3.1.

Рисунок 3.1 — Диаграмма уровня А-0 «Обеспечение информационной безопасности»

Информация, поступающая на предприятие проходит несколько стадий обработки на наличие программных, сетевых и физических угроз безопасности, прежде чем поступит в использование сотрудниками организации.

За безопасностью следит главным образом системный администратор, который настраивает все программные и аппаратные средства для защиты предприятия. Все это регламентируется регламентом предприятия, политикой безопасности и должностными инструкциями. В результате сотрудники получают безопасную информацию, также формируется отчет о событиях обработки.

Декомпозиция блока «Обеспечение информационной безопасности» представлена анна рисунке 3.2.

Рисунок 3.2 — Декомпозиция диаграммы уровня А-0

«Обеспечение информационной безопасности»

Поступающая информация проходит стадию анализа, где выявляются угрозы, которые она может нанести, далее применяются средства для устранения этих угроз и происходит распределение информации по уровням защиты (административный, программно-технический, законодательный, организационный). Далее применяются средства для дальнейшей защиты информации. Все это в соответствии с нормативными и правовыми актами, действующими на предприятии.

DFD-диаграмма представлена на рисунке 3.3.

Рисунок 3.3 — Диаграмма DFD уровня А-1 «Анализ информации»

На данной диаграмме представлен процесс работы пользователя и системы.

В процессе выполнения курсового проекта был проведен анализ средств информационной безопасности предприятия ООО «Нива», информационных ресурсов предприятия, анализ угроз ИБ, и были выявлены соответствующие недостатки.

В соответствии с выявленными недостатками были предложены меры их устранения, в результате выполнения которых предприятие позволит повысить эффективность средств защиты и сократит риск потери и искажения информации. Следует обратить внимание на то, что только при совместном взаимодействии персонала, программно-аппаратных средств и средств защиты информации возможна эффективность данных мероприятий.

Обследуемое предприятие ООО «Нива» циркулирует большим количеством информации конфиденциального характера, доступ к которой необходимо ограничить. Поэтому, целью являлась разработка такой системы по защите информации, при которой угрозы утечки конфиденциальной информации были бы минимальны.

В результате анализа была построена модель информационной системы с позиции безопасности.

В заключение хотелось бы подчеркнуть, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в компьютерных сетях. В то же время свести риск потерь к минимуму возможно лишь при комплексном подходе к вопросам безопасности.

1. Галатенко, В.А. Основы информационной безопасности. — М.: Интуит, 2003.

2. Доктрина информационной безопасности от 09.09.2000 г.

3. Завгородний, В.И. Комплексная защита информации в компьютерных системах. — М.: Логос, 2001.

4. Зегжда, Д.П., Ивашко, А.М. Основы безопасности информационных систем. — М.: Интуит, 2006.

5. Стандарты информационной безопасности.

6. Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».

7. http://ru. wikipedia.org/wiki/

Организационная структура ООО «Нива»

источник