- اطلاعات شخصی دانش آموزان f acultheta;

پرونده های شخصی دانش آموزان؛

کارت های شخصی دانش آموزان؛

اسناد جاری؛

دارایی های مادی و فنی.

تهدیدها امنیت

- سرقت؛

- دسترسی غیرمجاز؛

- نقض یکپارچگی اطلاعات جیره

خرابی های نرم افزاری و سخت افزاری.

روش های حفاظت

- آئین نامه؛

- اقدامات و روشهای سازمانی، فنی و رژیمی؛

- نرم افزار و سخت افزار اطاعت کردن

حفاظت سازمانی

منابع تهدید

- منابع انسانی (کارکنان، دانش آموزان، مزاحمان)؛

منابع فناورانه (نرم افزار و سخت افزار)؛

منابع طبیعی تهدید (آتش سوزی، سیل، زلزله و غیره).

نتیجه

در فرآیند تکمیل پروژه دوره، تجزیه و تحلیل ابزارهای امنیت اطلاعات شرکت مدیریت LLC شرکت آشاتلی انجام شد. تجزیه و تحلیل منابع اطلاعاتی شرکت، تجزیه و تحلیل تهدیدات امنیت اطلاعات انجام شد و کاستی های مربوطه شناسایی شد.

اجرای اقدامات اصلاحی پیشنهادی به شرکت اجازه می دهد تا اثربخشی اقدامات امنیتی را افزایش دهد و خطر از دست دادن اطلاعات را کاهش دهد. لازم به ذکر است که فرآیند سازماندهی یا سازماندهی مجدد امنیت اطلاعات فرآیند پیچیده ای است که در آن برنامه ها، پرسنل و تجهیزات به طور همزمان در تعامل هستند.

برای حل مشکل تامین امنیت اطلاعات باید از اقدامات قانونی، سازمانی، نرم افزاری و فنی استفاده کرد که به طور کامل رفع شود.

فهرست ادبیات استفاده شده

Maklakov S.V. ایجاد سیستم های اطلاعاتی با AllFusion Modeling Suite. – M.: Dialogue-MEPhI, 2003. – 432 p.

www. ashatli-agro.ru

قانون فدرال شماره 231-F "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات" مورخ 18 دسامبر 2006.

قانون فدرال فدراسیون روسیه مورخ 27 ژوئیه 2006 شماره 149-FZ "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات"

2. سیستم آنتی ویروس ESET NOD 32 برای محافظت در برابر ویروس های کامپیوتری.

پایگاه های داده به طور نامنظم به روز می شوند و ایستگاه های کاری اسکن می شوند.

3. پشتیبان گیری داخلی ویندوز برای ایجاد آرشیو.

OS Backup Wizard برنامه ای است که برای ایجاد و بازیابی سریع نسخه پشتیبان ویندوز طراحی شده است. این به شما امکان می دهد یک کپی از کل ویندوز یا فقط فایل ها و پوشه های جداگانه ایجاد کنید.

4. رمزگذاری با یک کلید 2048 بیتی برای کانال vpn (اتصال به دفتر شرکت مدیریت برای جریان نامه و اسناد).

فصل 2. بهبود NIB

2.1 ضعف در سیستم امنیت اطلاعات

هنگام تجزیه و تحلیل مشکلات مربوط به امنیت اطلاعات، لازم است ویژگی های این جنبه از امنیت را در نظر گرفت، که شامل این واقعیت است که امنیت اطلاعات بخشی جدایی ناپذیر از فناوری اطلاعات است - حوزه ای که با سرعت بی سابقه ای در حال توسعه است. آنچه در اینجا مهم است نه راه حل های فردی (قوانین، دوره های آموزشی، محصولات نرم افزاری و سخت افزاری) که در سطح مدرن هستند، بلکه مکانیسم هایی برای تولید راه حل های جدید است که به شما امکان می دهد با سرعت پیشرفت فنی زندگی کنید.

فن آوری های برنامه نویسی مدرن اجازه ایجاد برنامه های بدون خطا را نمی دهد، که به توسعه سریع ابزارهای امنیت اطلاعات کمک نمی کند.

پس از تجزیه و تحلیل امنیت اطلاعات یک شرکت، می توان نتیجه گرفت که توجه کافی به امنیت اطلاعات نمی شود:

عدم وجود رمزهای عبور دسترسی به سیستم؛

بدون رمز عبور هنگام کار با برنامه با 1C: Enterprise، هنگام تغییر داده ها.

هیچ حفاظت اضافی از فایل ها و اطلاعات وجود ندارد (هنگام باز کردن یا تغییر اطلاعات در پرونده ها، به غیر از ابزارهای رمزگذاری داده ها، هیچ درخواست رمز اساسی وجود ندارد).

به روز رسانی نامنظم پایگاه های داده برنامه های آنتی ویروس و اسکن ایستگاه های کاری؛

تعداد زیادی از اسناد کاغذی عمدتاً در پوشه ها (گاهی اوقات بدون آنها) روی دسکتاپ کارمند ذخیره می شوند که به مهاجمان اجازه می دهد تا به راحتی از این نوع اطلاعات برای اهداف خود استفاده کنند.

هیچ بحث منظمی در مورد مسائل امنیت اطلاعات در شرکت و مشکلات در حال ظهور در این زمینه وجود ندارد.

آزمایش منظم عملکرد سیستم های اطلاعاتی شرکت سازماندهی نشده است؛ اشکال زدایی فقط در صورت شکست آنها انجام می شود.

فقدان سیاست امنیت اطلاعات؛

عدم وجود مدیر سیستم

همه موارد فوق از معایب بسیار مهم تضمین امنیت اطلاعات سازمانی هستند.

2.2 هدف و اهداف سیستم امنیت اطلاعات

امنیت اطلاعات وضعیت امنیت منابع اطلاعاتی در شبکه های کامپیوتری و سیستم های سازمانی از دسترسی غیرمجاز، تداخل تصادفی یا عمدی در عملکرد عادی سیستم ها و تلاش برای تخریب اجزای آن است.

اهداف حفاظت از اطلاعات:

جلوگیری از تهدیدات امنیتی شرکت به دلیل اقدامات غیرمجاز تخریب، اصلاح، تحریف، کپی، مسدود کردن اطلاعات یا سایر اشکال دخالت غیرقانونی در منابع اطلاعاتی و سیستم های اطلاعاتی؛

حفظ اسرار تجاری پردازش شده با استفاده از فناوری رایانه؛

حفاظت از حقوق قانونی شهروندان برای حفظ اسرار شخصی و محرمانه بودن داده های شخصی موجود در سیستم های اطلاعاتی.

برای دستیابی به اهداف حفاظتی، وظایف زیر باید به طور موثر مورد توجه قرار گیرد:

· محافظت در برابر مداخله در عملکرد شرکت توسط افراد غیر مجاز.

محافظت در برابر اقدامات غیرمجاز با منابع اطلاعاتی شرکت توسط افراد غیرمجاز و کارمندانی که دارای اختیار مناسب نیستند.

· اطمینان از کامل بودن، قابلیت اطمینان و کارایی پشتیبانی اطلاعات برای تصمیم گیری مدیریت توسط مدیریت شرکت.

· اطمینان از ایمنی فیزیکی سخت افزار و نرم افزار شرکت و محافظت از آنها در برابر تهدیدات مصنوعی و طبیعی؛

ثبت رویدادهایی که بر امنیت اطلاعات تأثیر می گذارد، اطمینان از کنترل کامل و مسئولیت پذیری کلیه عملیات انجام شده در شرکت.

شناسایی، ارزیابی و پیش‌بینی به موقع منابع تهدید امنیت اطلاعات، علل و شرایطی که به آسیب به منافع افراد، اختلال در عملکرد عادی و توسعه شرکت کمک می‌کند.

تجزیه و تحلیل خطرات تهدیدات برای امنیت اطلاعات و ارزیابی آسیب های احتمالی، جلوگیری از عواقب غیرقابل قبول نقض امنیت اطلاعات شرکت، ایجاد شرایط برای به حداقل رساندن و بومی سازی آسیب های ایجاد شده.

· اطمینان از امکان بازگرداندن وضعیت فعلی شرکت در صورت نقض امنیت اطلاعات و از بین بردن عواقب این تخلفات.

· ایجاد و تشکیل یک خط مشی امنیت اطلاعات سازمانی هدفمند.

2.3 اقدامات و وسایل برای بهبود سیستم امنیت اطلاعات

برای دستیابی به اهداف تعیین شده و حل مشکلات، انجام فعالیت هایی در سطوح امنیت اطلاعات ضروری است.

سطح اداری امنیت اطلاعات

برای تشکیل سیستم امنیت اطلاعات، تدوین و تصویب خط مشی امنیت اطلاعات ضروری است.

خط مشی امنیتی مجموعه ای از قوانین، قواعد و هنجارهای رفتاری با هدف حفاظت از اطلاعات و منابع مرتبط با آن است.

لازم به ذکر است که خط مشی تدوین شده باید با قوانین و مقررات موجود مرتبط با سازمان، یعنی. این قوانین و مقررات باید در هنگام تدوین سیاست ها شناسایی و در نظر گرفته شوند.

هرچه سیستم قابل اعتمادتر باشد، سیاست امنیتی باید سختگیرانه تر و متنوع تر باشد.

بسته به خط مشی تدوین شده، مکانیسم های خاصی را می توان برای اطمینان از امنیت سیستم انتخاب کرد.

سطح سازمانی امنیت اطلاعات.

با توجه به کاستی هایی که در بخش قبل توضیح داده شد، می توان اقدامات زیر را برای بهبود امنیت اطلاعات پیشنهاد کرد:

سازماندهی کار برای آموزش پرسنل در مهارت های کار با محصولات نرم افزاری جدید با مشارکت متخصصان واجد شرایط.

توسعه اقدامات لازم با هدف بهبود سیستم اقتصادی، اجتماعی و امنیت اطلاعات شرکت.

برای اطمینان از اینکه هر کارمند اهمیت و محرمانه بودن اطلاعاتی که به او سپرده شده است، آموزش انجام دهید، زیرا، به عنوان یک قاعده، دلیل افشای اطلاعات محرمانه، آگاهی ناکافی کارکنان از قوانین حفاظت از اسرار تجاری و سوء تفاهم است (یا سوء تفاهم) از نیاز به رعایت دقیق آنها.

نظارت دقیق بر رعایت قوانین کار با اطلاعات محرمانه.

نظارت بر رعایت قوانین مربوط به ذخیره اسناد کاری کارکنان شرکت؛

برگزاری برنامه ریزی شده جلسات، سمینارها، بحث ها در مورد مسائل امنیت اطلاعات سازمانی؛

آزمایش و نگهداری منظم (برنامه ریزی شده) کلیه سیستم های اطلاعاتی و زیرساخت های اطلاعاتی برای عملکرد.

یک مدیر سیستم به صورت دائمی تعیین کنید.

اقدامات نرم افزاری و سخت افزاری برای حفاظت از اطلاعات.

نرم افزار و سخت افزار یکی از مهمترین مولفه های پیاده سازی امنیت اطلاعات یک شرکت می باشد، لذا برای افزایش سطح امنیت اطلاعات لازم است اقدامات زیر معرفی و اعمال شود:

وارد کردن رمزهای عبور کاربر؛

برای تنظیم دسترسی کاربران به منابع اطلاعاتی سازمانی، لازم است فهرستی از کاربرانی که تحت لاگین خود وارد سیستم می شوند وارد کنید. با نصب Windows Server 2003 Std بر روی سرور، می توانید لیستی از کاربران با رمزهای عبور مربوطه ایجاد کنید. گذرواژه‌ها را با دستورالعمل‌های مناسب در مورد استفاده از آن‌ها بین کارکنان توزیع کنید. همچنین باید تاریخ انقضای رمز عبور را وارد کنید و پس از آن از کاربر خواسته می شود تا رمز عبور را تغییر دهد. تعداد تلاش برای ورود به سیستم با رمز عبور نادرست را محدود کنید (مثلاً به سه).

معرفی درخواست رمز عبور در برنامه 1C: Enterprise هنگام کار با پایگاه داده، هنگام تغییر داده ها. این کار را می توان با استفاده از نرم افزار و نرم افزار کامپیوتر انجام داد.

کنترل دسترسی به فایل ها، دایرکتوری ها، دیسک ها.

دسترسی به فایل‌ها و دایرکتوری‌ها توسط مدیر سیستم محدود می‌شود، که اجازه دسترسی به درایوها، پوشه‌ها و فایل‌های مربوطه را برای هر کاربر به طور خاص می‌دهد.

اسکن منظم ایستگاه های کاری و به روز رسانی پایگاه داده برنامه های آنتی ویروس.

به شما امکان می دهد بدافزار را شناسایی و خنثی کنید و علل عفونت را از بین ببرید. انجام کار برای نصب، پیکربندی و اطمینان از عملکرد ابزارها و سیستم های حفاظت ضد ویروس ضروری است.

برای انجام این کار، باید برنامه آنتی ویروس خود را طوری پیکربندی کنید که مرتباً رایانه شما را اسکن کند و به طور مرتب پایگاه داده ها را از سرور به روز کند.

نصب فایروال Agnitum Outpost FireWall بر روی کامپیوتر سرور، که حملات از طریق اینترنت را مسدود می کند.

مزایای استفاده از فایروال Agnitum Outpost Firewall:

¾ اتصالات بین رایانه و دیگران را کنترل می کند، هکرها را مسدود می کند و از دسترسی خارجی و داخلی غیرمجاز به شبکه جلوگیری می کند.

ارسال کار خوب خود در پایگاه دانش ساده است. از فرم زیر استفاده کنید

دانشجویان، دانشجویان تحصیلات تکمیلی، دانشمندان جوانی که از دانش پایه در تحصیل و کار خود استفاده می کنند از شما بسیار سپاسگزار خواهند بود.

ارسال شده در http://www.allbest.ru/

پروژه دوره

در رشته "امنیت اطلاعات"

در مورد موضوع

«بهبود سیستم امنیت اطلاعات در

LLC "Aries"

معرفی

وقتی در مورد امنیت اطلاعات صحبت می کنیم، در حال حاضر منظورمان، به طور دقیق، امنیت رایانه است. در واقع، اطلاعات ذخیره شده در رسانه های الکترونیکی نقش مهمی را در زندگی جامعه مدرن ایفا می کند. آسیب پذیری چنین اطلاعاتی به دلیل عوامل متعددی است: حجم زیاد، چند نقطه و ناشناس بودن احتمالی دسترسی، امکان "خرابکاری اطلاعات"... همه اینها وظیفه تضمین امنیت اطلاعات واقع در یک محیط کامپیوتری را به یک مشکل تبدیل می کند. مشکل بسیار پیچیده تر از مثلا حفظ محرمانه بودن مکاتبات پستی سنتی است.

اگر در مورد امنیت اطلاعات ذخیره شده در رسانه های سنتی (کاغذ، چاپ عکس و غیره) صحبت کنیم، ایمنی آن با رعایت اقدامات حفاظتی فیزیکی (یعنی محافظت از ورود غیر مجاز به فضای ذخیره سازی رسانه) حاصل می شود. جنبه‌های دیگر حفاظت از این اطلاعات مربوط به بلایای طبیعی و انسان‌ساز است. بنابراین، مفهوم امنیت اطلاعات "رایانه" به عنوان یک کل در مقایسه با امنیت اطلاعات در مورد رسانه های "سنتی" گسترده تر است.

اگر ما در مورد تفاوت در رویکردهای حل مشکل امنیت اطلاعات در سطوح مختلف (ایالتی، منطقه ای، سطح یک سازمان) صحبت کنیم، پس چنین تفاوت هایی به سادگی وجود ندارد. رویکرد تضمین امنیت سیستم خودکار دولتی "انتخابات" هیچ تفاوتی با رویکرد تضمین امنیت شبکه محلی در یک شرکت کوچک ندارد. بنابراین، اصول تضمین امنیت اطلاعات در این کار با استفاده از نمونه هایی از فعالیت های یک سازمان جداگانه مورد بحث قرار می گیرد.

هدف از پروژه دوره بهبود سیستم امنیت اطلاعات Aries LLC است. اهداف این دوره، تجزیه و تحلیل Oven LLC، منابع، ساختار و سیستم امنیت اطلاعات موجود در شرکت و جستجوی روش‌هایی برای بهبود آن خواهد بود.

در مرحله اول، تجزیه و تحلیل سیستم امنیت اطلاعات انجام خواهد شد. بر اساس نتایج به‌دست‌آمده، در مرحله دوم روش‌هایی برای بهبود امنیت اطلاعات در صورت وجود نقاط ضعف در این سیستم جستجو می‌شود.

1. تجزیه و تحلیل سیستم امنیت اطلاعات در Aries LLC

1.1 ویژگی های شرکت. ساختار سازمانی و کارکنان شرکت. خدمات مربوط به منابع اطلاعاتی و حفاظت از آنها

نام کامل شرکت شرکت با مسئولیت محدود "آریس" است. نام اختصاری شرکت Oven LLC است. بیشتر در متن جامعه. این شرکت شعبه یا دفاتر نمایندگی ندارد، تنها مرکز آن در منطقه پرم، منطقه سوکسونسکی، روستای مارتیانوو قرار دارد.

این شرکت در سال 1990 به عنوان یک مزرعه کوچک تاسیس شد و سه موسس داشت. پس از سازماندهی مجدد مزرعه به مزرعه دهقانی در سال 1998، تنها موسس آن باقی ماند. آخرین باری که این سازماندهی مجدد انجام شد در آوریل 2004 بود. از اول فروردین این شرکت به شرکت با مسئولیت محدود «آریس» معروف شد.

فعالیت اصلی این شرکت کشت محصولات کشاورزی، بذر و فروش محصولات کشاورزی می باشد. امروزه در روسیه این شرکت در بین شرکت های کشاورزی سیب زمینی رتبه سیزدهم و در منطقه پرم رتبه اول را دارد.

آدرس حقوقی: روسیه، 617553، منطقه پرم، سوکسونسکی، روستای مارتیانوو.

اهداف کل شرکت:

· دریافت سود از فعالیت های اصلی.

· افزایش رقابت پذیری محصولات و گسترش بازارهای فروش.

· تمرکز سرمایه و افزایش منابع سرمایه گذاری برای اجرای سرمایه گذاری و سایر پروژه ها.

ماموریت شرکت:

1. به اشغال موقعیت پیشرو در بازار ادامه دهید.

2. ایجاد مزرعه بذر.

ساختار سازمانی شرکت.

شرکت از یک ساختار خطی-عملکردی استفاده می کند. در یک ساختار خطی-عملکردی، سلسله مراتبی از خدمات شکل می گیرد. در این ساختار، روسای بخش های عملکردی حق دارند در مورد مسائل عملکردی به سطح بعدی مدیریت دستور دهند.

ساختار شرکت در شکل 1 نشان داده شده است.

ارسال شده در http://www.allbest.ru/

ارسال شده در http://www.allbest.ru/

شکل 1 - ساختار سازمانی Aries LLC

1.2 تجزیه و تحلیل و ویژگی های منابع اطلاعاتی سازمانی

امروزه همه نگران امنیت اطلاعات شرکت هستند. برنامه های فردی و مجموعه های کاملی که برای محافظت از داده ها طراحی شده اند به طور فزاینده ای محبوب می شوند. با این حال، هیچ کس به این واقعیت فکر نمی کند که شما می توانید به اندازه دلخواه محافظت قابل اعتمادی داشته باشید، اما همچنان اطلاعات مهم را از دست بدهید. زیرا یکی از کارمندان شما آن را بی اهمیت می داند و در معرض دید عموم قرار می دهد. و اگر مطمئن هستید که از این مصون هستید، بسیار در اشتباه هستید. در نگاه اول، چنین وضعیتی تا حدودی غیر واقعی به نظر می رسد، مانند یک شوخی. با این حال، این اتفاق می افتد، و اغلب اتفاق می افتد. در واقع، پرسنل فنی، که در اکثر موارد با مشکلات امنیت اطلاعات سروکار دارند، همیشه نمی‌دانند چه داده‌هایی باید پنهان شوند و چه چیزهایی نه. برای درک، باید تمام اطلاعات را به انواع مختلف که معمولاً انواع نامیده می شوند، تقسیم کنید و مرزهای بین آنها را به وضوح مشخص کنید.

در حقیقت، همه شرکت‌های متخصص در تامین سیستم‌های جامع امنیت اطلاعات کامپیوتری، تقسیم‌بندی داده‌ها به انواع مختلف را در نظر می‌گیرند. اینجا فقط باید مراقب باشی واقعیت این است که محصولات غربی از استانداردهای بین المللی (به ویژه ISO 17799 و برخی دیگر) پیروی می کنند. به گفته آنها، همه داده ها به سه نوع تقسیم می شوند: باز، محرمانه و کاملا محرمانه. در همین حال، در کشور ما، طبق قوانین فعلی، از یک تمایز کمی متفاوت استفاده می شود: اطلاعات باز، برای استفاده داخلی و محرمانه.

باز به معنای هرگونه اطلاعاتی است که می تواند آزادانه به افراد دیگر منتقل شود و همچنین در رسانه ها منتشر شود. اغلب در قالب بیانیه های مطبوعاتی، سخنرانی در کنفرانس ها، ارائه ها و نمایشگاه ها و عناصر فردی (البته مثبت) آمار ارائه می شود. علاوه بر این، این طبقه بندی شامل تمام داده های به دست آمده از منابع خارجی باز است. و البته اطلاعات در نظر گرفته شده برای یک وب سایت شرکتی نیز عمومی در نظر گرفته می شود.

در نگاه اول به نظر می رسد که اطلاعات باز نیازی به محافظت ندارد. با این حال، مردم فراموش می کنند که داده ها نه تنها می توانند دزدیده شوند، بلکه می توانند جایگزین شوند. بنابراین، حفظ یکپارچگی اطلاعات باز یک وظیفه بسیار مهم است. در غیر این صورت، به جای یک بیانیه مطبوعاتی از پیش آماده شده، ممکن است با چیزی غیرقابل درک روبرو شوید. یا صفحه اصلی یک وب سایت شرکتی با کتیبه های توهین آمیز جایگزین می شود. بنابراین اطلاعات باز نیز نیاز به محافظت دارد.

مانند هر شرکت دیگری، این شرکت دارای اطلاعات باز است که عمدتاً در ارائه هایی که به سرمایه گذاران بالقوه نشان داده می شود، موجود است.

اطلاعات برای استفاده داخلی شامل هر داده ای است که توسط کارکنان برای انجام وظایف حرفه ای خود استفاده می شود. اما این همه ماجرا نیست. این دسته شامل کلیه اطلاعاتی است که بین بخش ها یا شعب مختلف مبادله می شود تا از عملکرد آنها اطمینان حاصل شود. و در نهایت، آخرین نوع داده ای که در این دسته از داده ها قرار می گیرد، اطلاعاتی است که از منابع باز به دست آمده و در معرض پردازش (ساختار، ویرایش، شفاف سازی) قرار می گیرند.

در واقع تمام این اطلاعات حتی اگر به دست رقبا یا مهاجمان بیفتد، نمی تواند آسیب جدی به شرکت وارد کند. با این حال، هنوز ممکن است آسیب هایی از ربوده شدن او وجود داشته باشد. فرض کنید کارمندان اخباری را در مورد موضوع مورد علاقه رئیس خود برای رئیس خود جمع آوری می کردند که از میان آنها مهمترین پیام ها را انتخاب کرده و آنها را علامت گذاری می کردند. چنین خلاصه ای به وضوح اطلاعاتی برای استفاده داخلی است (اطلاعات از منابع باز به دست آمده و پردازش شده است). در نگاه اول، به نظر می رسد که رقبا با به دست آوردن آن، نمی توانند از آن بهره مند شوند. اما در واقع، آنها می توانند حدس بزنند که مدیریت شرکت شما به چه حوزه ای از فعالیت علاقه دارد و، چه کسی می داند، شاید حتی بتوانند از شما جلو بزنند. بنابراین، اطلاعات برای استفاده داخلی باید نه تنها از جایگزینی، بلکه از دسترسی غیرمجاز نیز محافظت شود. درست است، در اکثریت قریب به اتفاق موارد، می توانید خود را به امنیت شبکه محلی محدود کنید، زیرا صرف مبالغ هنگفت در این مورد از نظر اقتصادی سودآور نیست.

شرکت همچنین این نوع اطلاعات را ارائه می دهد که در انواع گزارش ها، لیست ها، عصاره ها و غیره موجود است.

اطلاعات محرمانه اطلاعات مستندی است که دسترسی به آنها مطابق با قوانین فدراسیون روسیه محدود شده است و در دسترس عموم نیست و در صورت افشای می تواند به حقوق و منافع قانونی محافظت شده شخصی که آن را ارائه کرده است آسیب برساند. فهرست داده های مربوط به این طبقه بندی توسط ایالت ایجاد می شود. در حال حاضر به شرح زیر است: اطلاعات شخصی، اطلاعاتی که یک راز تجاری، رسمی یا حرفه ای را تشکیل می دهد، اطلاعاتی که راز تحقیقات و کارهای اداری است. علاوه بر این، اخیراً اطلاعات مربوط به ماهیت یک اختراع یا اکتشاف علمی قبل از انتشار رسمی آن به عنوان محرمانه طبقه بندی شده است.

اطلاعات محرمانه در یک شرکت شامل داده هایی مانند: طرح توسعه، کار تحقیقاتی، مستندات فنی، نقشه ها، توزیع سود، قراردادها، گزارش ها، منابع، شرکا، مذاکرات، قراردادها و همچنین اطلاعات مدیریت و برنامه ریزی است.

این شرکت حدود بیست کامپیوتر دارد. در مورد حضور یک شبکه محلی در یک شرکت، رایانه های شخصی در جامعه در یک شبکه واحد متحد نیستند. علاوه بر این، تمام رایانه ها به مجموعه استانداردی از برنامه های اداری و حسابداری مجهز هستند. سه کامپیوتر از طریق مینی پورت WAN به اینترنت دسترسی دارند. با این حال، حتی یک کامپیوتر در شرکت به برنامه آنتی ویروس مجهز نیست. تبادل اطلاعات از طریق رسانه ها انجام می شود: درایوهای فلش، فلاپی دیسک. تمام اطلاعات مربوط به رسانه های "سنتی" در کابینت هایی قرار دارد که قفل نیستند. مهم ترین مدارک در گاوصندوقی قرار می گیرد که کلید آن نزد منشی نگهداری می شود.

امنیت حفاظت از اطلاعات

1.3 تهدیدها و ابزارهای حفاظت از اطلاعات در شرکت

تهدید امنیت اطلاعات - مجموعه ای از شرایط و عواملی که خطر بالقوه یا بالفعل مرتبط با نشت اطلاعات و/یا اثرات غیرمجاز و/یا غیرعمدی بر آن ایجاد می کند.

با توجه به روش‌های تأثیرگذاری بر اشیاء امنیت اطلاعات، تهدیدات مرتبط با جامعه در معرض طبقه‌بندی زیر قرار می‌گیرند: اطلاعاتی، نرم‌افزاری، فیزیکی، سازمانی و حقوقی.

تهدیدهای اطلاعاتی عبارتند از:

· دسترسی غیرمجاز به منابع اطلاعاتی؛

· سرقت اطلاعات از آرشیوها و پایگاه های داده.

· نقض فناوری پردازش اطلاعات.

· جمع آوری و استفاده غیرقانونی از اطلاعات؛

تهدیدات نرم افزاری عبارتند از:

· ویروس های کامپیوتری و بدافزارها.

تهدیدات فیزیکی عبارتند از:

· تخریب یا تخریب امکانات پردازش اطلاعات و ارتباطات.

· سرقت رسانه های ذخیره سازی.

· تأثیر بر پرسنل.

تهدیدهای سازمانی و قانونی عبارتند از:

· تدارک فناوری اطلاعات و ابزارهای اطلاعاتی ناقص یا قدیمی.

وسایل امنیت اطلاعات مجموعه ای از تجهیزات و دستگاه های مهندسی، الکتریکی، الکترونیکی، نوری و غیره، ابزار و سیستم های فنی و همچنین سایر عناصر مادی است که برای حل مشکلات مختلف حفاظت از اطلاعات، از جمله جلوگیری از نشت و اطمینان از امنیت اطلاعات محافظت شده، استفاده می شود.

بیایید ابزارهای امنیت اطلاعات مورد استفاده در سازمان را در نظر بگیریم. در مجموع چهار عدد (سخت افزار، نرم افزار، مختلط، سازمانی) وجود دارد.

حفاظت سخت افزاری- قفل، میله پنجره، دزدگیر امنیتی، محافظ برق، دوربین های مدار بسته.

محافظت از نرم افزار: از ابزارهای سیستم عامل مانند محافظت از رمز عبور، حساب ها استفاده می شود.

وسایل حفاظت سازمانی: آماده سازی محل با رایانه.

2 بهبود سیستم امنیت اطلاعات

2.1 نقص های شناسایی شده در سیستم امنیت اطلاعات

آسیب پذیرترین نقطه در حفاظت از اطلاعات در جامعه، حفاظت از امنیت رایانه است. حتی یک تحلیل سطحی از شرکت می تواند کاستی های زیر را برجسته کند:

§ از اطلاعات به ندرت پشتیبان گیری می شود.

§ سطح ناکافی نرم افزار امنیت اطلاعات.

§ برخی از کارکنان مهارت های کامپیوتری کافی ندارند.

§ کنترلی بر کارمندان وجود ندارد. اغلب، کارمندان می توانند محل کار خود را بدون خاموش کردن رایانه شخصی خود و حمل فلش مموری حاوی اطلاعات رسمی ترک کنند.

§ فقدان اسناد نظارتی در مورد امنیت اطلاعات.

§ همه رایانه ها از ویژگی های سیستم عامل مانند رمز عبور و حساب ها استفاده نمی کنند.

2.2 اهداف و اهداف ایجاد یک سیستم امنیت اطلاعات در یک شرکت

هدف اصلی سیستم امنیت اطلاعات تضمین عملکرد پایدار تاسیسات، جلوگیری از تهدیدات امنیتی آن، حفاظت از منافع قانونی شرکت در برابر حملات غیرقانونی، جلوگیری از سرقت منابع مالی، افشا، از دست دادن، نشت، تحریف و تخریب اطلاعات رسمی، حصول اطمینان از فعالیت های تولید عادی تمام بخش های تاسیسات. یکی دیگر از اهداف سیستم امنیت اطلاعات ارتقای کیفیت خدمات ارائه شده و تضمین امنیت حقوق و منافع مالکیت است.

اهداف تشکیل یک سیستم امنیت اطلاعات در یک سازمان عبارتند از: یکپارچگی اطلاعات، قابلیت اطمینان اطلاعات و محرمانه بودن آن. هنگام انجام وظایف محوله، هدف محقق خواهد شد.

ایجاد سیستم های امنیت اطلاعات (ISS) در IS و IT بر اساس اصول زیر است:

یک رویکرد سیستماتیک برای ساختن یک سیستم امنیتی، به معنای ترکیبی بهینه از ویژگی‌های سازمانی، نرم‌افزار، سخت‌افزار، فیزیکی و سایر ویژگی‌های مرتبط با هم که با رویه ایجاد سیستم‌های امنیتی داخلی و خارجی تأیید شده و در تمام مراحل چرخه فناوری پردازش اطلاعات مورد استفاده قرار می‌گیرد.

اصل توسعه مستمر سیستم. این اصل که یکی از اصول اساسی برای سیستم های اطلاعات کامپیوتری است، حتی بیشتر به امنیت اطلاعات مربوط می شود. روش‌های پیاده‌سازی تهدیدات اطلاعاتی در فناوری اطلاعات دائماً در حال بهبود هستند و بنابراین اطمینان از امنیت IP نمی‌تواند اقدامی یک‌باره باشد. این فرآیندی مستمر شامل اثبات و اجرای منطقی‌ترین روش‌ها، روش‌ها و راه‌های بهبود سیستم امنیت اطلاعات، نظارت مستمر، شناسایی تنگناها و نقاط ضعف آن، کانال‌های احتمالی نشت اطلاعات و روش‌های جدید دسترسی غیرمجاز است.

تفکیک و به حداقل رساندن اختیارات برای دسترسی به اطلاعات پردازش شده و رویه های پردازش، یعنی ارائه حداقل اختیارات کاملاً تعریف شده برای آنها برای انجام وظایف رسمی، هم برای کاربران و هم برای خود کارکنان IS.

کنترل و ثبت کامل تلاش‌های دسترسی غیرمجاز، یعنی نیاز به تعیین دقیق هویت هر کاربر و ثبت اقدامات وی برای بررسی احتمالی و همچنین عدم امکان انجام هرگونه عملیات پردازش اطلاعات در فناوری اطلاعات بدون ثبت قبلی آن.

اطمینان از قابلیت اطمینان سیستم حفاظتی، یعنی عدم امکان کاهش سطح قابلیت اطمینان در صورت خرابی، خرابی، اقدامات عمدی هکر یا خطاهای غیرعمدی کاربران و پرسنل تعمیر و نگهداری در سیستم.

اطمینان از کنترل عملکرد سیستم حفاظتی، به عنوان مثال. ایجاد ابزار و روش هایی برای نظارت بر عملکرد مکانیسم های حفاظتی.

ارائه انواع ابزارهای ضد بدافزار.

اطمینان از امکان اقتصادی استفاده از یک سیستم حفاظتی، که در بیش از حد آسیب احتمالی به IS و IT ناشی از اجرای تهدیدها بیش از هزینه توسعه و راه اندازی SIS بیان می شود.

2.3 اقدامات پیشنهادی برای بهبود سیستم امنیت اطلاعات سازمان

کاستی های شناسایی شده در شرکت نیاز به رفع آنها دارد، بنابراین اقدامات زیر پیشنهاد می شود.

§ پشتیبان گیری منظم از پایگاه داده با اطلاعات شخصی کارکنان شرکت، داده های حسابداری و سایر پایگاه های داده موجود در شرکت. این از دست دادن اطلاعات به دلیل خرابی دیسک، قطع برق، ویروس ها و سایر حوادث جلوگیری می کند. برنامه‌ریزی دقیق و روش‌های پشتیبان‌گیری منظم به شما این امکان را می‌دهد که در صورت از دست دادن داده‌های خود، به سرعت آن‌ها را بازیابی کنید.

§ استفاده از ابزارهای سیستم عامل در هر کامپیوتر. برای متخصصان حساب ایجاد کنید و به طور مرتب رمز عبور این حساب ها را تغییر دهید.

§ آموزش پرسنل سازمانی برای کار با کامپیوتر. شرط لازم برای عملکرد صحیح ایستگاه های کاری و جلوگیری از اتلاف و آسیب به اطلاعات. کار کل شرکت از نظر اجرای صحیح به مهارت های رایانه شخصی کارکنان بستگی دارد.

§ نصب برنامه های ضد ویروس بر روی کامپیوتر مانند: Avast، NOD، Doctor Web و .... این کار از آلوده شدن رایانه شما به برنامه های مخرب مختلفی به نام ویروس جلوگیری می کند. که برای این شرکت بسیار مهم است، زیرا چندین رایانه شخصی به اینترنت دسترسی دارند و کارکنان از درایوهای فلش برای تبادل اطلاعات استفاده می کنند.

§ نظارت بر کارکنان با استفاده از دوربین های فیلمبرداری. این موارد موارد عدم رسیدگی به تجهیزات، خطر سرقت تجهیزات و آسیب را کاهش می دهد و همچنین به شما امکان می دهد "حذف" اطلاعات اختصاصی را از قلمرو شرکت کنترل کنید.

§ توسعه یک سند نظارتی "اقدامات حفاظت از اطلاعات در Oven LLC و مسئولیت تخلفات آنها" که با قوانین فعلی فدراسیون روسیه مطابقت دارد و خطرات، تخلفات و مسئولیت این تخلفات (جریمه ها، مجازات ها) را تعریف می کند. و همچنین درج ستون مربوطه در قرارداد کار شرکت که حاکی از آشنایی و تعهد به رعایت مفاد این سند باشد.

2.4 اثربخشی اقدامات پیشنهادی

اقدامات پیشنهادی نه تنها حاوی جنبه های مثبت، مانند حذف مشکلات اصلی در سازمان مربوط به امنیت اطلاعات است. اما در عین حال، آنها به سرمایه گذاری اضافی در آموزش پرسنل و توسعه اسناد نظارتی مربوط به سیاست امنیتی نیاز دارند. به هزینه های نیروی کار اضافی نیاز دارد و خطرات را به طور کامل از بین نمی برد. همیشه یک عامل انسانی و فورس ماژور وجود خواهد داشت. اما اگر چنین اقداماتی انجام نشود، هزینه بازیابی اطلاعات بیشتر از هزینه توسعه یک سیستم امنیتی خواهد بود.

بیایید نتایج اقدامات پیشنهادی را در نظر بگیریم:

1. افزایش قابلیت اطمینان سیستم امنیت اطلاعات سازمان.

2. افزایش سطح مهارت رایانه شخصی پرسنل.

3. کاهش خطر از دست دادن اطلاعات.

4. در دسترس بودن یک سند تنظیمی که خط مشی امنیتی را تعریف می کند.

5. شاید خطر ورود/حذف اطلاعات از شرکت را کاهش دهد.

3 مدل امنیت اطلاعات

مدل امنیت اطلاعات ارائه شده (شکل 2) مجموعه ای از عوامل خارجی و داخلی عینی و تأثیر آنها بر وضعیت امنیت اطلاعات در تأسیسات و ایمنی مواد یا منابع اطلاعاتی است.

شکل 2 - مدل سیستم امنیت اطلاعات

این مدل مطابق با اسناد نظارتی ویژه در مورد امنیت اطلاعات مصوب در فدراسیون روسیه، استاندارد بین المللی ISO/IEC 15408 "فناوری اطلاعات - روش های امنیتی - معیارهای ارزیابی امنیت اطلاعات"، استاندارد ISO/IEC 17799 "مدیریت امنیت اطلاعات" و روند توسعه چارچوب نظارتی داخلی (به ویژه کمیسیون فنی دولتی فدراسیون روسیه) در مورد مسائل امنیت اطلاعات را در نظر می گیرد.

نتیجه گیری و پیشنهادات

عصر اطلاعات تغییرات شگرفی را در نحوه انجام وظایف تعداد زیادی از مشاغل به وجود آورده است. اکنون یک فرد غیر فنی سطح متوسط ​​می تواند کاری را که قبلا توسط یک برنامه نویس بسیار ماهر انجام می شد انجام دهد. کارمند آنقدر اطلاعات دقیق و به موقع در اختیار دارد که قبلاً هرگز نداشته است.

اما استفاده از رایانه و فناوری های خودکار مشکلات متعددی را برای مدیریت یک سازمان ایجاد می کند. رایانه ها، اغلب به صورت شبکه ای، می توانند دسترسی به حجم عظیمی از داده های متنوع را فراهم کنند. بنابراین، مردم نگران امنیت اطلاعات و خطرات مرتبط با اتوماسیون و دسترسی بسیار بیشتر به داده‌های محرمانه، شخصی یا سایر داده‌های حیاتی هستند. تعداد جرایم رایانه ای در حال افزایش است که در نهایت می تواند به اختلالات اقتصادی منجر شود. و بنابراین باید روشن باشد که اطلاعات منبعی است که باید محافظت شود.

و از آنجایی که اتوماسیون منجر به این واقعیت شده است که عملیات رایانه توسط کارکنان عادی سازمان انجام می شود و نه توسط پرسنل فنی آموزش دیده خاص، لازم است که کاربران نهایی از مسئولیت خود در قبال حفاظت از اطلاعات آگاه باشند.

هیچ دستور العملی وجود ندارد که تضمین 100٪ ایمنی داده ها و عملکرد قابل اعتماد شبکه را ارائه دهد. با این حال، ایجاد یک مفهوم امنیتی جامع و سنجیده که وظایف خاص یک سازمان خاص را در نظر می گیرد، به کاهش خطر از دست دادن اطلاعات ارزشمند به حداقل ممکن کمک می کند. حفاظت از رایانه یک مبارزه دائمی در برابر حماقت کاربران و هوش هکرها است.

در پایان می خواهم بگویم که حفاظت از اطلاعات به روش های فنی محدود نمی شود. مشکل بسیار گسترده تر است. عیب اصلی حفاظت افراد است و بنابراین قابلیت اطمینان یک سیستم امنیتی عمدتاً به نگرش کارکنان شرکت نسبت به آن بستگی دارد. علاوه بر این، حفاظت باید به طور مداوم همراه با توسعه شبکه کامپیوتری بهبود یابد. فراموش نکنید که این سیستم امنیتی نیست که مانع کار می شود، بلکه نبود آن است.

همچنین می خواهم با جمع بندی نتایج این پروژه درسی متذکر شوم که پس از تجزیه و تحلیل سیستم امنیت اطلاعات شرکت Aries، پنج نقص شناسایی شد. پس از جستجو، راه حل هایی برای از بین بردن آنها یافت شد؛ این کاستی ها قابل اصلاح است که امنیت اطلاعات شرکت را به طور کلی بهبود می بخشد.

در طی اقدامات فوق، مهارت های عملی و نظری در مطالعه سیستم امنیت اطلاعات ایجاد شد، بنابراین هدف پروژه درسی محقق شد. با تشکر از راه حل های یافت شده، می توان گفت که تمام اهداف پروژه تکمیل شده است.

کتابشناسی - فهرست کتب

1. GOST 7.1-2003. سابقه کتابشناختی. شرح کتابشناختی. الزامات عمومی و قوانین تدوین (مسکو: انتشارات خانه استانداردها، 2004).

2. گالاتنکو، V.A. "مبانی امنیت اطلاعات." - M.: "Intuit"، 2003.

3. Zavgorodniy, V. I. "حفاظت جامع اطلاعات در سیستم های کامپیوتری." - م.: "آرم ها"، 2001.

4. زگژدا، دی.پ.، ایواشک، ع.م. "مبانی امنیت سیستم های اطلاعاتی."

5. Nosov، V.A. دوره مقدماتی رشته "امنیت اطلاعات".

6. قانون فدرال فدراسیون روسیه 27 ژوئیه 2006 N 149-FZ "در مورد اطلاعات، فناوری اطلاعات و حفاظت از اطلاعات"

ارسال شده در Allbest.ru

اسناد مشابه

ویژگی های منابع اطلاعاتی هلدینگ کشاورزی اشاتلی. تهدیدات امنیت اطلاعات ویژه شرکت اقدامات، روش ها و وسایل حفاظت از اطلاعات. تجزیه و تحلیل کاستی های موجود و مزایای سیستم امنیتی به روز.

کار دوره، اضافه شده در 02/03/2011


اطلاعات کلی در مورد فعالیت های شرکت. اشیاء امنیت اطلاعات در شرکت اقدامات و وسایل حفاظت از اطلاعات. کپی کردن داده ها در رسانه های قابل جابجایی نصب سرور پشتیبان داخلی کارایی بهبود سیستم امنیت اطلاعات.

تست، اضافه شده در 2013/08/29


مفهوم، معنا و جهت گیری امنیت اطلاعات. یک رویکرد سیستماتیک برای سازماندهی امنیت اطلاعات، محافظت از اطلاعات از دسترسی غیرمجاز. ابزارهای امنیت اطلاعات روش ها و سیستم های امنیت اطلاعات

چکیده، اضافه شده در 1390/11/15


سیستمی برای تشکیل رژیم امنیت اطلاعات مشکلات امنیت اطلاعات جامعه. ابزارهای امنیت اطلاعات: روش ها و سیستم های اساسی حفاظت از اطلاعات در شبکه های کامپیوتری مفاد مهمترین قوانین قانونی روسیه.

چکیده، اضافه شده در 2014/01/20


تجزیه و تحلیل ریسک امنیت اطلاعات ارزیابی ابزارهای حفاظتی موجود و برنامه ریزی شده. مجموعه ای از اقدامات سازمانی برای اطمینان از امنیت اطلاعات و حفاظت از اطلاعات سازمانی. نمونه تست اجرای پروژه و شرح آن.

پایان نامه، اضافه شده 12/19/2012


یک استراتژی امنیت اطلاعات سازمانی در قالب سیستمی از سیاست های موثر که مجموعه ای موثر و کافی از الزامات امنیتی را تعریف می کند. شناسایی تهدیدات امنیت اطلاعات کنترل داخلی و مدیریت ریسک.

کار دوره، اضافه شده در 2015/06/14


ویژگی های مجموعه ای از وظایف و توجیه نیاز به بهبود سیستم برای اطمینان از امنیت اطلاعات و حفاظت از اطلاعات در شرکت. توسعه پروژه ای برای استفاده از DBMS، امنیت اطلاعات و حفاظت از داده های شخصی.

پایان نامه، اضافه شده 11/17/2012


اسناد نظارتی در زمینه امنیت اطلاعات در روسیه. تجزیه و تحلیل تهدیدات سیستم های اطلاعاتی ویژگی های سازماندهی سیستم حفاظت از داده های شخصی کلینیک. پیاده سازی سیستم احراز هویت با استفاده از کلیدهای الکترونیکی.

پایان نامه، اضافه شده در 1395/10/31


پیش نیازهای ایجاد یک سیستم امنیت داده های شخصی. تهدیدات امنیت اطلاعات منابع دسترسی غیرمجاز به ISPD. طراحی سیستم های اطلاعات شخصی. ابزارهای امنیت اطلاعات خط مشی امنیتی.

کار دوره، اضافه شده 10/07/2016


اهداف، ساختار، اقدامات فیزیکی، نرم افزاری و سخت افزاری برای حفاظت از سیستم اطلاعاتی. انواع و علل جرایم رایانه ای، راه های بهبود سیاست امنیتی سازمان. هدف و عملکردهای اصلی پوشه "خاطرات" در MS Outlook 97.