ПРАВОВЫЕ ПРОБЛЕМЫ ИСПОЛЬЗОВАНИЯ КОМПЬЮТЕРНЫХ ТЕХНОЛОГИЙ И СОВЕРШЕНСТВОВАНИЕ ЗАКОНОДАТЕЛЬСТВА
СОВЕРШЕНСТВОВАНИЕ ИНСТИТУЦИОНАЛЬНОГО МЕХАНИЗМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РФ
IMPROVING THE INSTITUTIONAL MECHANISM FOR ENSURING THE INFORMATION SECURITY OF THE RUSSIAN FEDERATION
© Коблова Юлия Александровна
Yuliya A. Koblova
кандидат экономических наук, доцент кафедры институциональной экономики и экономической безопасности, Саратовский социально-экономический институт (филиал) ФГБОУ ВПО «РЭУ им. Г.В. Плеханова»
Cand.Sc. (Economics), associate professor at the department of institutional economics, Saratov socio-economic institute (branch) of Plekhanov Russian University of Economics
e-mail: [email protected]
В статье исследуются институциональные аспекты обеспечения информационной безопасности государства. Раскрыта сущность и роль институционального механизма в обеспечении информационной безопасности государства. Дана оценка институциональному обеспечению информационной безопасности в России. Выделены проблемы и предложена система мер по совершенствованию институционального механизма обеспечения информационной безопасности страны.
Ключевые слова: институты, институциональный механизм, информационная безопасность, интернет-пространство.
The paper examines the institutional aspects of ensuring information security of the state. The author reveals the essence and role of institutional mechanism in ensuring state information security, evaluates the institutional mechanism of ensuring information security in Russia, highlights major challenges, and suggests a system of measures to improve the institutional mechanism to ensure information security.
Keywords: institutions, institutional mechanisms, information security, internet space.
Обеспечение информационной безопасности государства - это достаточно новая государственная функция с еще не установившимся объемом и содержанием методов и инстру-
ментов. Ее формирование обусловлено необходимостью защиты общества и государства от информационных угроз, связанных с развитием новейших информационно-коммуникаци-
онных технологий. Масштабы негативных последствий этих угроз для государств, организаций, людей уже осознаны мировым сообществом, поэтому важнейшей задачей государства является разработка системы мер по их предотвращению и нейтрализации. Немаловажную роль в достижении информационной безопасности государства играет институциональный механизм ее обеспечения. Эффективность институциональной системы, реализующей общественные интересы, является залогом их гармонизации в целях обеспечения высших государственных интересов, в том числе национальной и информационной безопасности.
Напомним, что институты - это порожденные человеческим сознанием и опытом правила взаимодействий («правила игры») в обществе, ограничения и предпосылки развития в политике, социальной сфере и экономике. Институтами, поддерживающими долговременный экономический рост, являются законы и правила, формирующие побудительные мотивы и механизмы. Институты задают систему положительных и отрицательных стимулов, снижают неопределенность и делают социальную среду более предсказуемой. Институты, гарантирующие информационную безопасность, известны: верховенство закона, независимый и компетентный суд, отсутствие коррупции и др.
Институциональный механизм обеспечения информационной безопасности представляет собой особую структурную составляющую хозяйственного механизма, обеспечивающую создание норм и правил, регулирующих взаимодействие различных экономических субъектов в информационной сфере по предотвращению угроз информационной безопасности. Институциональный механизм приводит в действие институты (формальные и неформальные), структурирует взаимодействия субъектов, осуществляет контроль над соблюдением установленных норм и правил.
Сущность институционального механизма проявляется через его функции. О.В. Иншаков и Н.Н. Лебедева считают, что институциональный механизм выполняет следующие функции, которые применимы и к механизму обеспечения информационной безопасности:
1) интеграция агентов в один институт с целью осуществления совместной деятельности в рамках общих статусов и норм;
2) дифференцирование норм и статусов, а также субъектов и агентов разных институтов на разделяющие и игнорирующие их требования; регламентация взаимодействия институ-
та и его агентов в соответствии с установленными требованиями;
3) осуществление перевода новых требований в реальную практику;
4) обеспечение воспроизводства рутинных инноваций;
5) субординация и координация отношений между субъектами, которые принадлежат к разным институтам;
6) информирование субъектов о новых нормах и об оппортунистическом поведении;
7) регулирование деятельности субъектов, разделяющих и отвергающих требования, определенные институтом;
8) контроль за выполнением норм, правил и соглашений .
Таким образом, институциональный механизм обеспечения информационной безопасности включает законодательную основу и обеспечивающие ее институциональные структуры. Совершенствование данного механизма включает в себя реорганизацию законодательной основы информационной безопасности и институциональных структур противодействия угрозам информационной безопасности.
В институциональный механизм обеспечения информационной безопасности входит: принятие новых законов, которые учитывали бы интересы всех субъектов информационной сферы; соблюдение баланса созидательной и ограничительной функций законов в информационной сфере; интеграция России в мировое правовое пространство; учет состояния сферы отечественных информационных технологий.
К настоящему времени в России сформирована законодательная база в области информационной безопасности, включающая:
1. Законы Российской Федерации: Конституция РФ, «О безопасности»; «Об органах Федеральной службы безопасности в Российской Федерации», «О государственной тайне», «О внешней разведке», «Об участии в международном информационном обмене», «Об информации, информационных технологиях и о защите информации», «Об электронно-цифровой подписи» и др.
2. Нормативно-правовые акты Президента Российской Федерации: Доктрина информационной безопасности РФ; Стратегия национальной безопасности Российской Федерации до 2020 года, «Об основах государственной политики в сфере информатизации», «О перечне сведений, отнесенных к государственной тайне» и др.
3. Нормативные правовые акты Правительства Российской Федерации: «О сертификации
средств защиты информации», «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны», «О лицензировании отдельных видов деятельности» и др.
4. Гражданский кодекс РФ (часть четвертая).
5. Уголовный кодекс Российской Федерации.
За последние годы в России реализован
комплекс мер по совершенствованию обеспечения ее информационной безопасности. Реализованы мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах государственной власти субъектов РФ, на предприятиях, в учреждениях и организациях независимо от формы собственности. Ведутся работы по защите специальных информационно-телекоммуникационных систем. Эффективному решению проблем информационной безопасности РФ способствуют государственная система защиты информации, система защиты государственной тайны и системы сертификации средств защиты информации.
Государственная техническая комиссия при Президенте РФ проводит единую техническую политику и координирует работы в сфере защиты информации, стоит во главе государственной системы защиты информации от технических разведок и обеспечивает защиту информации от утечки по техническим каналам на территории России, отслеживает эффективность принимаемых мер защиты.
Важную роль в системе информационной безопасности страны играют государственные и общественные организации: они осуществляют контроль за государственными и негосударственными средствами массовой информации.
Вместе с тем уровень информационной безопасности России не в полной мере соответствует потребностям общества и государства. В условиях информационного общества обостряются противоречия между общественной потребностью в расширении и свободе обмена информацией, с одной стороны, и необходимостью сохранить отдельные регламентированные ограничения на ее распространение.
В настоящее время отсутствует институциональное обеспечение закрепленных в Конституции РФ прав граждан в информационной сфере (на неприкосновенность частной жизни, личную тайну, тайну переписки и др.). Остав-
ляет желать лучшего защита персональных данных, которые собираются федеральными органами власти.
Отсутствует четкость проведения политики государства в сфере формирования информационного пространства РФ, средств массовой информации, международного информационного обмена и интеграции России в мировое информационное пространство.
Совершенствование институционального механизма информационной безопасности государства, на наш взгляд, должно быть направлено на решение следующих важных проблем.
Слабая практическая направленность современного российского законодательства в информационной сфере создает проблемы правового и методологического характера. Высказываются мнения о том, что Доктрина информационной безопасности РФ не имеет прикладного значения, содержит множество неточностей и методологических ошибок. Так, объектами информационной безопасности в Доктрине признаются интересы, личность, общество, государство - понятия, не сопоставимые между собой. Многие ученые обращали внимание на недопустимость принятия в качестве объекта информационной безопасности защиты интересов, а не их носителей .
Применение этих категорий, содержание которых неопределенно, в законодательном документе не вполне неуместно . Например, субъекты права - это юридические и физические лица, организации, лица без гражданства, исполнительные органы власти. Категория «государство» включает в себя территорию страны, ее население (нации), политическую власть, конституционный строй.
В Доктрине информационной безопасности РФ источниками угроз информационной безопасности признается:
Деятельность иностранных структур;
Разработка концепций информационных войн рядом государств;
Стремление ряда стран к доминированию и др.
По мнению Г. Атаманова, источником может являться объект или субъект, принимающий участие в информационном процессе или способный повлиять на него в той или иной мере. Например, в американском законодательстве источники угроз информационной инфраструктуры включают: хакеров, настроенных против США; террористические группы; государства, против которых может быть направлена антитеррористическая операция;
хакеров, любопытствующих или самоутверждающихся .
Недостатки и рамочный характер Доктрины снижают эффективность и ограничивают сферу ее применения, задают неверное направление развития законодательства в информационной сфере и все больше запутывают его.
Для должного обеспечения информационной безопасности необходимо создание соответствующей системы правовых отношений, что, в свою очередь, невозможно без пересмотра категориального аппарата, доктринально-го и концептуального фундамента законодательства в информационной сфере.
2. Разрыв между законодательством и практикой в информационной сфере.
Огромная пропасть между законодательством и практикой в информационной сфере объективно существует из-за стремительности и масштабности развития информационных технологий и Интернета, мгновенно порождающих новые угрозы. Законодательный процесс, наоборот, долог и тернист. Поэтому в современных условиях необходимы механизмы, позволяющие согласовать разработку законов с реалиями развития информационных технологий и информационного общества. Важно, чтобы отставание не было слишком большим, так как это чревато снижением или потерей информационной безопасности.
Преодоление разрыва между практикой и законодательством в информационной сфере необходимо для снижения и нейтрализации угроз информационной безопасности, возникающих из-за опережения развития информационных технологий и возникновения вакуума в законодательстве.
3. Отсутствие наднациональных институтов, гарантирующих информационную безопасность.
Невозможно противостоять преступлениям, совершаемым в Интернете, силами одной страны. Запретительные меры, вводимые на национальном уровне, не будут действенными, так как нарушители могут находиться за границей. Для борьбы с ними необходима консолидация усилий на международном уровне и принятие международных правил поведения в интернет-пространстве. Подобные попытки предпринимались. Так, Будапештская конвенция Совета Европы допускала преследование нарушителей на территории другого государства без предупреждения его властей. Именно поэтому многие страны сочли неприемлемым ратифицировать данный документ.
Модельный закон «Об основах регулирования Интернета», одобренный на пленарном
заседании Межпарламентской Ассамблеи государств - участников СНГ, устанавливает порядок государственной поддержки и регулирования Интернета, а также правила определения места и времени совершения юридически значимых действий в сети. Кроме того, в законе регламентируется деятельность и ответственность операторов услуг.
Необходимо отметить и ратификацию документа, разрешающего обмен конфиденциальной информацией на территории России, Беларуси и Казахстана. Речь идет о протоколе, который определяет порядок предоставления сведений, содержащих конфиденциальную информацию, для расследований, предшествующих введению специальных защитных, антидемпинговых и компенсационных мер по отношению к третьим странам. Это очень важное соглашение государств - участников Таможенного союза, которое позволяет совместно выработать и отстроить защитные антидемпинговые и компенсационные меры. Таким образом, на сегодняшний день организована прочная нормативная база, которая создает принципиально новый наднациональный орган, уполномоченный не только проводить расследования, собирать доказательственную базу, но и защищать ее от утечек, определяя порядок предоставления.
Формирование наднациональных институтов в информационной сфере позволит преодолеть ограниченность национальных законодательств в борьбе с информационными преступлениями.
4. Отсутствие институтов интернет-пространства.
В настоящее время в международном праве должны появиться такие новые институты, регулирующие взаимодействие субъектов в интернет-пространстве, как «электронная граница», «электронный суверенитет», «электронное налогообложение» и другие. Это будет способствовать преодолению латентного характера киберпреступности, т.е. увеличению раскрываемости киберпреступлений.
5. Развитие частно-государственного партнерства в информационной сфере.
В связи со стремлением правительственных организаций публиковать отчеты о состоянии своей системы информационной безопасности возникает интересная дилемма. С одной стороны, эти публикации отражают усилия государства по поддержанию системы кибербезопасности на должной высоте. Казалось бы, такой результат должен вести к более эффективной структуре расходов на кибербе-зопасность. Но, с другой стороны, публикация информации о недостатках системы кибербе-
Научно-практический журнал. ISSN 1995-5731
зопасности государственных организаций с большей вероятностью делает их уязвимыми для атак хакеров, что влечет за собой потребность в большем количестве ресурсов для их отражения и предотвращения.
Самой большой проблемой в обеспечении сотрудничества и обмена информацией, связанной с безопасностью, между государственными агентствами и корпорациями Гордон и Лоеб считают проблему «безбилетничества» (//тее-^ет). Казалось бы, поскольку безопасность компьютерных сетей зависит от действий каждого участника, подобное сотрудничество является оптимальным способом увеличить эффективность средств, затрачиваемых на обеспечение кибербезопасности. Успешный обмен информацией и опытом в области кибербезопасности мог бы дать возможность координировать такую деятельность на национальном и международном уровнях. Но в реальности боязнь фирмы потерять конкурентные преимущества, участвуя в подобном сетевом сотрудничестве и предоставляя полную информацию о себе, приводит к укло-
нению от предоставления полной информации. Изменить ситуацию здесь может только развитие государственно-частного партнерства на основе введения достаточно значимых экономических стимулов.
Таким образом, институциональный механизм обеспечения информационной безопасности государства предполагает формирование законодательных основ и институциональных структур, ее обеспечивающих. Для совершенствования институционального механизма и формирования новой архитектуры экономической безопасности в условиях информационной экономики предложена система мер, включающая: преодоление декларативного характера законодательства и сокращение разрыва между законодательством и практикой в информационной сфере, формирование наднационального законодательства в информационной сфере, создание новых институтов, определяющих рамки взаимодействия и правил поведения в интернет-пространстве.
Библиографический список (References)
1. Иншаков О.В., Лебедева Н.Н. Хозяйственный и институциональный механизмы: соотношение и взаимодействие в условиях социально-рыночной трансформации российской экономики // Вестник С.-Петерб. гос. унта. Сер. 5. 2008. Вып. 4 (№ 16).
2. Дзлиев М.И., Романович А.Л., Урсул А.Д. Проблемы безопасности: теоретико-методологические аспекты. М., 2001.
3. Атаманов Г. А. Информационная безопасность в современном российском обществе (социально-философский аспект): дис. ... канд. филос. наук. Волгоград, 2006.
4. Кононов А. А., Смолян Г. Л. Информационное общество: общество тотального риска или общество гарантированной безопасности? // Информационное общество. 2002. № 1.
1. Inshakov O.V., Lebedeva N.N. (2008) Khozyaystvennyy i institutsional"nyy mekhaniz-my: sootnosheniye i vzaimodeystviye v usloviyakh sotsial"no-rynochnoy transformatsii rossiyskoy ekonomiki // Vestnik S.-Peterb. gos. un-ta. Ser. 5. Vyp. 4 (№ 16).
2. Dzliyev M.I., Romanovich A.L., Ursul A.D. (2001) Problemy bezopasnosti: teoretiko-metodologicheskiye aspekty . M.
3. Atamanov G.A. (2006) Informatsionnaya bezopasnost" v sovremennom rossiyskom ob-shchestve (sotsial"no-filosofskiy aspekt) . Volgograd.
4. Kononov A.A., Smolyan G.L. (2002) In-formatsionnoye obshchestvo: obshchestvo total"nogo riska ili obshchestvo garantirovannoy bezopasnosti? // Informat-sionnoye obshchestvo. № 1.
КУРСОВОЙ ПРОЕКТ
на тему: «Совершенствование системы информационной безопасности на предприятии ООО «УК «Ашатли»»
Введение
Тема разработки политики информационной безопасности на предприятиях, фирмах и организациях актуальна в современном мире. Информационная безопасность (на уровне предприятий и организаций) – это защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести недопустимый ущерб субъектам информационных отношений.
На предприятии действует современная локальная вычислительная сеть и установлено необходимое программное обеспечение, а также существует выход в Internet. При существовании такого количества информационных ресурсов, необходимо и наличие политики информационной безопасности. На данном предприятии необходимо совершенствовать политику информационной безопасности для минимизации угроз информационной безопасности, что и является целью для данного курсового проекта. Угроза информационной безопасности – это реальное или потенциальное действие, направленное на нарушения информационной безопасности, приводящие к материальному и моральному ущербу.
1. Анализ информационной безопасности ООО «УК «Ашатли»
Общие сведения об организации
Агрохолдинг «Ашатли» – это динамично развивающаяся, вертикально и горизонтально интегрированная группа компаний сельскохозяйственного направления, участник проекта «Покупай Пермское!».
Агрохолдинг «Ашатли» создан в 2007 году и на сегодняшний день имеет следующие направления деятельности: молочное животноводство, молочная переработка, растениеводство, выращивание овощей, салатов и зелени в закрытом грунте, цветоводство на гидропонике, а также земельное направление и мясной ритейл.
Одним из преимуществ, как динамично развивающегося холдинга, является гибкий подход к специфике работы и пожеланиям клиентов. Специалисты фирмы в состоянии выполнять работы практически любого объема и сложности. Разносторонний опыт работы и профессионализм сотрудников позволяет гарантировать выполнение любых задач в договорной срок.
Местонахождение ООО «Управляющая компания «Ашатли»
614010, Россия, Пермский край, г. Пермь, Комсомольский проспект, 70а
1.2 Характеристика информационных ресурсов предприятия
Согласно ФЗ «Об информации, информационных технологиях и о защите информации», к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.
В ООО «УК «Ашатли» общедоступная информация представлена на сайте компании или может быть предоставлена менеджерами кампании. К такой информации относится:
сведения, содержащиеся в уставе организации.
Финансовая отчетность;
Состав руководства и т.д.;
Информация о наградах и тендерах кампании;
Информация о вакансиях и сведения о численности и составе работников, об условиях их труда, о системе оплаты труда;
Контактные данные менеджеров кампании;
В организации также имеются сведения, на использование и распространение которых введены ограничения их собственником, т.е. организацией. Такая информация называется защищаемой. К ней можно отнести сведения, касающиеся личной жизни работников организации.
Следующий тип информации – это информация, представляющая коммерческую тайну. Согласно ФЗ «Об информации, информационных технологиях и о защите информации», информация, составляющая коммерческую тайну (секрет производства), – сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании, в отношении которых обладателем таких сведений введен режим коммерческой тайны (п. 2 в ред. Федерального закона от 18.12.2006 №231-ФЗ)
К коммерческой тайне в ООО «УК «Ашатли» относится следующая информация:
Информация о личности работников, домашних адресов.
Информация о клиентах, их контактные и личные данные.
Информация о проектах, сроках и условиях договоров.
К информационным ресурсам фирмы относится документы и акты на бумажных носителях, локальная вычислительная сеть.
1.3 Угрозы информационной безопасности, характерные для данного предприятия
Под угрозой информационной безопасности понимается потенциальная возможность нарушения основных качеств или свойств информации – доступности, целостности и конфиденциальности. Основным типом угрозы информационной безопасности для данной фирмы можно считать несанкционированный доступ к информации, относящейся к коммерческой тайне.
По способам воздействия на объекты информационной безопасности угрозы, актуальные для общества, подлежат следующей классификации: информационные, программные, физические, организационно-правовые.
К информационным угрозам относятся:
несанкционированный доступ к информационным ресурсам;
хищение информации из архивов и баз данных;
противозаконный сбор и использование информации;
К программным угрозам относятся:
компьютерные вирусы и вредоносные программы;
К физическим угрозам относятся:
уничтожение или разрушение средств обработки информации и связи;
хищение носителей информации;
воздействие на персонал;
К организационно-правовым угрозам относятся:
закупки несовершенных или устаревших информационных технологий и средств информатизации;
Предприятие ООО «УК «Ашатли» может быть подвержено таким информационным угрозам, таким как
Взлому баз данных или несанкционированное использование коммерческой информации в целях передачи данных конкурентам предприятия, что может отрицательно сказаться на деятельности предприятия и в крайнем случае привести к его разорению, ликвидации.
Разглашение сотрудниками конфиденциальной информации, использование ее в корыстных целях для получения прибыли, т. к. многие служащие имеют доступ к базе данных 1С Управление торговлей.
Сотрудники предприятия могут умышленно или случайно повлиять на распространение информации, например по электронной почте, ICQ и по другим цифровым средствам связи, что негативно может сказаться на репутации предприятия, поскольку они имеют доступ к сведениям организации.
Одной из самых распространенных угроз информационной безопасности являются сбои и отказы программного обеспечения, технических средств фирмы, поскольку оборудование зачастую даже самое новое дает сбои, также предприятию могут поставить технически некачественное оборудование.
На ООО «УК «Ашатли» может возникнуть ситуация несанкционированного физического доступа к техническим средствам, являющимися источникам информации, также кража носителя с важной информацией (флешка, внешний жеский диск и т.д.) или только данных. По сути, это хищение интеллектуальной собственности через сеть или физическое хищение носителей.
Одной из немало важных информационных угроз являются ошибки персонала организации. Упущения в работе менеджеров, недобросовестное выполнение своих обязанностей консультантами может привести к нарушению целостности информации, а также могут возникнуть конфликтные ситуации с клиентами.
К угрозам программного обеспечения можно отнести различное вредоносное ПО, потеря паролей, незащищенность используемого ПО, а также отсутствие системы резервного копирования.
1.4 Меры, методы и средства защиты информации, применяемые на предприятии
Законодательный уровень защиты представляет собой совокупность законодательных актов в области информации и информационных технологий. К этому уровню относятся: Конституция РФ, Гражданский кодекс РФ, Уголовный кодекс РФ, ФЗ «Об информации, информационных технологиях и защите информации» и др.
Административный уровень защиты информации отражается в программе ИБ. Основой программы является политика ИБ – изданный документ (свод документов), который принимается руководством организации и направлен на защиту информационных ресурсов данной организации. В данной организации политика информационной безопасности не разработана и этот уровень защиты информации не представлен.
К используемым мерам процедурного уровня по защите информации в ООО «УК «Ашатли» можно отнести то, что проход в здании осуществляется только по предварительной договоренности, а так же в здании установлена сигнализация. Так же з аключён договор на охрану помещений с вневедомственной охраной.
Рассмотрим средства защиты информации, применяемые на предприятии. Всего их существует четыре (аппаратные, программные, смешанные, организационные).
Использование антивирусной программы на всех компьютерах (ESET NOD32 Business EditionАнтивирус NOD 32)
Использование встроенных средств Windows для авторизации пользователя компьютера.
Использование специальных логин / паролей для авторизации в базе 1С Управление торговлей.
Аппаратные средства защиты – замки, решетки на окнах, защитная сигнализация, сетевые фильтры, камеры видеонаблюдения.
Программные средства защиты: используются средства операционной системы, такие как защита, паролем, учетные записи.
Организационные средства защиты: подготовка помещений с компьютерами.
На программно-аппаратном уровне по защите информации применяются следующие меры:
2. Совершенствование системы информационной безопасности
2.1 Недостатки в системе защиты информации
Некоторые из угроз информационной безопасности, такие как несанкционированное получение доступа извне, некорректная работа программного обеспечения или технические сбои, достаточно успешно нейтрализуются грамотной настройкой и администрированием сети, однако мер для предотвращения внутренних угроз не существует.
В процессе анализа существующей системы информационной безопасности в ООО «УК «Ашатли» были выделены следующие недостатки:
Не полное использование функциональных возможностей 1С. Не полностью разграничены права доступа к данным в базе, а так же пароли не отвечают требованиям сложности или у некоторых сотрудников просто не используются.
Отсутствуют ограничения по форматам и размерам передаваемых данных через интернет (*. mp 3,*. avi ,*. rar ) для определенных сотрудников.
Некоторые сотрудники хранят конфиденциальную информацию в общедоступных папках просто из-за собственной невнимательности, а так же хранят логин / пароль от информационных систем требующих авторизации в легкодоступных местах на рабочем столе.
Практически не охраняется информация на бумажных носителях, за исключением наиболее важной. (Кредитные договора, договора ренты, результаты проверок и т.д.)
2.2 Цели и задач формирования системы ИБ на предприятии
Таким образом можно сделать вывод, что существует высокая потребность совершенствования существующей системы информационной безопасности. Так же необходимо тщательно оберегать клиентскую базу кампании, поскольку это очень важная информация, которая не подлежит разглашению среди посторонних людей.
Сотрудники кампании зачастую не осознают, что от должной организации целостности баз данных и документов, поддержание их в упорядоченном виде напрямую зависит скорость деятельности фирмы и, следовательно, ее конкурентоспособность, а значит уровень их заработной платы.
Самую большую угрозу для функциональности электронной бухгалтерии представляют различные вирусы, попадающие на компьютеры в сети через интернет, а так же возможность доступа в электронные справочники и документы посторонних лиц.
Цели защиты информации:
– предотвращение угроз безопасности предприятия вследствие несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации или иных форм незаконного вмешательства в информационные ресурсы и информационных системах;
– сохранение коммерческой тайны, обрабатываемой с использованием средств вычислительной техники;
– защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах.
Задачи формирования системы информационной безопасности в организации являются: целостность информации, достоверность информации и ее конфиденциальность. При выполнении поставленных задач, цель будет реализована.
2.3 Предлагаемые мероприятия по совершенствованию системы защиты информации на законодательном, административном, процедурном и программно-аппаратном уровнях
Для устранения выявленных недостатков в системе информационной безопасности ООО «УК «Ашатли» предлагается ввести следующие меры:
На законодательном уровне никаких изменений по введению новых мер по обеспечению информационной безопасности не намечено.
Необходимо ввести меры административного уровня в политике безопасности фирмы. На административном уровне предлагается:
Создать ряд инструкций по информационной безопасности внутри фирмы для отдельных категорий работников (изменить и хранить пароли в недоступных местах, запретить посещение сторонних ресурсов и т.д.).
Предусмотреть ряд мотивационных мероприятий для заинтересованности сотрудников в соблюдении политики безопасности, а так же наказания за грубое нарушение политики безопасности фирмы. (премии и штрафы)
Для совершенствования системы безопасности на процедурном уровне предлагается следующий ряд мер:
Ограничить доступ посторонних людей в некоторые отделы фирмы.
Провести ряд консультационных мероприятий с сотрудниками организации по вопросам информационной безопасности и инструкциям по соблюдению политики безопасности.
На программно-аппаратном уровне предлагается ввести следующие меры:
Обязать всех сотрудников использовать пароли для доступа к базе 1С и более тщательно разграничить доступ к определенным данным базы (справочникам, документам и отчетам) всех сотрудников.
Необходимо изменить все стандартные логины и пароли для доступа к ADSL -Роутеру, необходимо чтоб пароли соответствовали уровню сложности.
Ввести ограничения на передаваемые через интернет форматы и размеры файлов отдельным сотрудникам, путем создания фильтров в ESET NOD 32 Business Edition
Таким образом, мы определились с изменениями в существующей системе информационной безопасности ООО «УК «Ашатли». Среди этих изменений ключевым является работа с персоналом, поскольку какие бы совершенные программные средства защиты информации не внедрялись, тем не менее, всю работу с ними осуществляет персонал и основные сбои в системе безопасности организации вызываются, как правило, персоналом. Правильно мотивированный персонал, нацеленный на результат деятельности – это уже половина того, что необходимо для эффективной деятельности любой системы.
2.4 Эффективность предложенных мероприятий
Самым главным преимуществом обновленной системы безопасности на предприятии ООО «УК «Ашатли» являются изменения в отношении персонала. Большинство проблем в существовавшей системе безопасности вызывалось именно персоналом.
Преимущества использования ESET NOD32 Business Edition:
ориентировано на предприятия от 5 до 100 000 ПК в рамках одной структуры
устанавливается как на сервер, так и на рабочие станции
проактивная защита от неизвестных угроз
применение интеллектуальных технологий, сочетающих эвристический и сигнатурный методы детектирования
обновляемое эвристическое ядро ThreatSenseтм
регулярное автоматическое обновление сигнатурных баз
Масштабируемое решение
Современные технологии
полное сканирование всей входящей корреспонденции через протоколы POP3 и POP3s
сканирование входящей и исходящей электронной почты
подробный отчет по обнаруженным вредоносным программам
полная интеграция в популярные почтовые клиенты: Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail, Mozilla Thunderbird и The Bat!.Ограничение типов и объемов, передаваемых и принимаемых через интернет сотрудниками файлов, во-первых, ограничит утечку какой-либо важной для организации информации, а во-вторых, снизит нагрузку на сеть интернет, поскольку каналы передачи данных не будут заняты передачей посторонней информации.
Централизованное управление
С помощью решения ESET Remote Administrator можно удаленно осуществлять инсталляцию и деинсталляцию программных продуктов ESET , контролировать работу антивирусного ПО, создавать внутри сети серверы для локального обновления продуктов ESET («зеркала»), позволяющие существенно сокращать внешний интернет-трафик.
ESET NOD 32 Business Edition автоматически формирует отчет по обнаруженным инфицированным объектам, отправленным в карантин, по динамике угроз, событиям, проверкам, задачам, можно сформировать различные комбинированные отчеты и т.д. Возможна отправка предупреждений и сообщений через протокол SMTP или посредством менеджера сообщений.
Фильтрация почтового и веб-контента
Удобные отчеты
Качественная антивирусная и сетевая защита позволит избежать нарушений в работе компьютеров, особенно это важно для рабочих мест менеджеров и консультантов. Такие улучшения коснутся надежности работы кампании как делового партнера для многих заказчиков, что благотворно повлияет на имидж кампании, а так же на ее доходы. Автоматическое резервное копирование информации позволит обеспечить ее целостность и сохранность, а архивирование обеспечит возможность быстрого восстановления ее в необходимых ситуациях.
3. Модель информационной безопасности
Представленная модель информационной безопасности – это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов. В качестве объектов рассматриваются материально-технические средства, персональные данные, документы.
ЗАЩИЩЁННЫЕ ОБЪЕ КТЫ
ЗАЩИЩАЕМЫЕ ОБЪЕКТЫ- персональные данные студентов ф
акультета;Личные дела студентов;
Личные карточки студентов;
Текущие документы;
Материально-технические ценности.
УГРОЗЫ БЕЗОПАСНОСТИ
- хищение;
- несанкционированный доступ;
- нарушение целостности инфо рмации;
Отказы программных и аппаратных средств.
МЕТОДЫ ЗАЩИТЫ
- нормативные документы;
- организационно-технические и режимные меры и методы;
- программно-технические спос обы;
Организационная защита.
ИСТОЧНИКИ УГРОЗ
- антропогенные источники (персонал, студенты, злоумышленники);
Техногенные источники (программные и аппаратные средства);
Стихийные источники угроз (пожары, наводнения, землетрясения и др).
Заключение
В процессе выполнения курсового проекта был проведен анализ средств информационной безопасности предприятия ООО «УК «Ашатли». Был произведен анализ информационных ресурсов предприятия, анализ угроз ИБ, и были выявлены соответствующие недостатки.
Выполнение предложенных мер по устранению недостатков позволит предприятию повысить эффективность средств защиты и сократить риск потери информации. Следует отметить, что процесс организации или реорганизации информационной безопасности это комплексный процесс, в котором взаимодействуют одновременно программы, персонал и техника.
Для решения проблемы обеспечения информационной безопасности необходимо применение законодательных, организационных и программно-технических мер, что позволит полностью ликвидировать ее.
Список использованной литературы
Маклаков С.В. Создание информационных систем с AllFusion Modeling Suite. – М.: Диалог-МИФИ, 2003. – 432 с.
www. ashatli-agro.ru
Федеральный закон №231-Ф «Об информации, информационных технологиях и о защите информации» от 18.12.2006.
Федеральный закон Российской Федерации от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»
2. Антивирусная система ESET NOD 32 для защиты от компьютерных вирусов.
Производится нерегулярное обновление баз и сканирование рабочих станций.
3. Встроенный Windows Backup для создания архивов.
OS Backup Wizard - программа, предназначенная для быстрого создания и восстановления резервной копии Windows. Она позволяет создать копию всей Windows или только отдельных файлов и папок.
4. Шифрование с ключом 2048 бит для канала vpn (подключение к офису управляющей компании для работы почты и документооборота).
Глава 2. Совершенствование СИБ
2.1 Недостатки в системе защиты информации
При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий - области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно - технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.
Современные технологии программирования не позволяют создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения информационной безопасности.
Проанализировав информационную безопасность предприятия можно сделать вывод, что информационной безопасности уделяется недостаточное внимание:
Отсутствие паролей доступа в систему;
Отсутствие паролей при работе программой с 1С: Предприятие, при изменении данных;
Отсутствует дополнительная защита файлов и информации (отсутствует элементарный запрос пароля при открытии или изменении информации в файлах, не говоря уже о средствах шифрования данных);
Нерегулярное обновление баз программы антивируса и сканирование рабочих станций;
Большое количество документов на бумажных носителях в основном лежат в папках (иногда и без них) на рабочем столе сотрудника, что позволяет злоумышленникам без труда воспользоваться данного рода информациях в своих целях;
Не производится регулярное обсуждение вопросов информационной безопасности на предприятии и возникающих проблем в этой области;
Не организована регулярная проверка работоспособности информационных систем предприятия, отладка производится только лишь в том случае, когда они выходят из строя;
Отсутствие политики информационной безопасности;
Отсутствие системного администратора.
Все вышеперечисленное является очень важными недостатками обеспечения информационной безопасности предприятия.
2.2 Цель и задачи системы информационной безопасности
Безопасность информации - состояние защищенности информационных ресурсов в вычислительных сетях и системах предприятия от несанкционированного доступа, случайного или преднамеренного вмешательства в нормальное функционирование систем, попыток разрушения её компонентов.
Цели защиты информации:
предотвращение угроз безопасности предприятия вследствие несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации или иных форм незаконного вмешательства в информационные ресурсы и информационных системах;
сохранение коммерческой тайны, обрабатываемой с использованием средств вычислительной техники;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах.
Для достижения целей защиты должно обеспечиваться эффективное решение следующих задач:
· защита от вмешательства в процесс функционирования предприятия посторонних лиц;
· защита от несанкционированных действий с информационными ресурсами предприятия посторонних лиц и сотрудников, не имеющих соответствующих полномочий;
· обеспечение полноты, достоверности и оперативности информационной поддержки принятия управленческих решений руководством предприятия;
· обеспечение физической сохранности технических средств и программного обеспечения предприятия и защита их от действия техногенных и стихийных источников угроз;
· регистрация событий, влияющих на безопасность информации, обеспечения полной подконтрольности и подотчетности выполнения всех операций, совершаемых на предприятии;
· своевременное выявление, оценка и прогнозирование источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба интересам субъектов, нарушению нормального функционирования и развития предприятия;
· анализ рисков реализации угроз безопасности информации и оценка возможного ущерба, предотвращение неприемлемых последствий нарушения безопасности информации предприятия, создание условий для минимизации и локализации наносимого ущерба;
· обеспечение возможности восстановления актуального состояния предприятия при нарушении безопасности информации и ликвидации последствий этих нарушений;
· создание и формирование целенаправленной политики безопасности информации предприятия.
2.3 Мероприятия и средства по совершенствованию системы информационной безопасности
Для выполнения поставленных целей и решению задач необходимо провести мероприятия на уровнях информационной безопасности.
Административный уровень информационной безопасности.
Для формирования системы информационной безопасности необходимо разработать и утвердить политику информационной безопасности.
Политика безопасности - это совокупность законов, правил и норм поведения, направленных на защиту информации и ассоциированных с ней ресурсов.
Следует отметить, что разрабатываемая политика должна согласовываться с существующими законами и правилами, относящимися к организации, т.е. эти законы и правила необходимо выявлять и принимать во внимание при разработке политики.
Чем надежнее система, тем строже и многообразнее должна быть политика безопасности.
В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность системы.
Организационный уровень защиты информации .
Исходя из недостатков, описанных в предыдущем разделе, можно предложить следующие мероприятия по улучшению защиты информации:
Организация работ по обучению персонала навыкам работы с новыми программными продуктами при участии квалифицированных специалистов;
Разработка необходимых мероприятий направленных на совершенствовании системы экономической, социальной и информационной безопасности предприятия.
Провести инструктаж для того, чтобы каждый сотрудник осознал всю важность и конфиденциальность вверенной ему информации, т.к., как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимания (или недопонимания) необходимости их тщательного соблюдения.
Строгий контроль соблюдения сотрудниками правил работы с конфиденциальной информацией;
Контроль соблюдения правил хранения рабочей документации сотрудников предприятия;
Плановое проведение собраний, семинаров, обсуждений по вопросам информационной безопасности предприятия;
Регулярная (плановая) проверка и обслуживание всех информационных систем и информационной инфраструктуры на работоспособность.
Назначить системного администратора на постоянной основе.
Программно-технические меры защиты информации.
Программно-технические средства являются одними из важнейших компонентов в реализации информационной защите предприятия, поэтому для повышения уровня защиты информации необходимо ввести и применить следующие мероприятия:
Введение паролей пользователей;
Для регулирования доступа пользователей к информационным ресурсам предприятия необходимо ввести список пользователей, которые будут входить в систему под своим логином. С помощью ОС Windows Server 2003 Std, установленной на сервере, можно создать список пользователей с соответствующими паролями. Пароли раздать работникам с соответствующим инструктажем их использования. Также необходимо ввести срок действия пароля, по истечению которого пользователю будет предложено поменять пароль. Ограничить число попыток входа в систему с неверным паролем (например, до трех).
Введение запроса паролей в программе 1С: Предприятии при работе с БД, при изменении данных. Это можно выполнить с помощью программных средств ПК и программы.
Разграничение доступа к файлам, каталогам, дискам.
Разграничение доступа к файлам и каталогам будет осуществляться системным администратором, который разрешит доступ к соответствующим дискам, папкам и файлам для каждого пользователя конкретно.
Регулярное сканирование рабочих станций и обновление баз антивирусной программы.
Позволит обнаруживать и нейтрализовать вредоносные программы, ликвидировать причины заражений. Необходимо выполнить работы по установке, настройке и обеспечению функционирования средств и систем антивирусной защиты.
Для этого необходимо настроить программу антивируса на регулярное сканирование ПК и регулярное обновление баз с сервера.
Установка на компьютер-сервер сетевого экрана Agnitum Outpost FireWall, который блокирует атаки из сети Интернет.
Преимущества использования сетевого экрана Agnitum Outpost FireWall:
¾ контролирует соединения компьютера с другими, блокируя хакеров и предотвращая несанкционированный внешний и внутренний доступ к сети.
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
КУРСОВОЙ ПРОЕКТ
По дисциплине «Информационная безопасность»
На тему
«Совершенствование системы информационной безопасности на
предприятии ООО «Овен»
Введение
Говоря об информационной безопасности, в настоящее время имеют в виду, собственно говоря, безопасность компьютерную. Действительно, информация, находящаяся на электронных носителях играет все большую роль в жизни современного общества. Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы, многоточечность и возможная анонимность доступа, возможность "информационных диверсий"... Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки.
Если говорить о безопасности информации, сохраняющейся на традиционных носителях (бумага, фотоотпечатки и т.п.), то ее сохранность достигается соблюдением мер физической защиты (т.е. защиты от несанкционированного проникновения в зону хранения носителей). Другие аспекты защиты такой информации связаны со стихийными бедствиями и техногенными катастрофами. Таким образом, понятие "компьютерной" информационной безопасности в целом является более широким по сравнению с информационной безопасностью относительно "традиционных" носителей.
Если говорить о различиях в подходах к решению проблемы информационной безопасности на различных уровнях (государственном, региональном, уровне одной организации), то такие различия просто не существуют. Подход к обеспечению безопасности Государственной автоматизированной системы "Выборы" не отличается от подхода к обеспечению безопасности локальной сети в маленькой фирме. Поэтому принципы обеспечения информационной безопасности в данной работе рассматриваются на примерах деятельности отдельной организации.
Целью курсового проекта является совершенствование системы информационной безопасности ООО «Овен». Задачами курсовой работы будут - анализ ООО «Овен», его ресурсов, структуры и существующей системы информационной безопасности на предприятии и поиск методы по ее улучшению.
На первом этапе будет проводиться анализ системы защиты информации. Из полученных результатов на втором этапе будет проводиться поиск методов по улучшению защиты информации, если будут существовать слабые стороны в данной системе.
1. Анализ системы информационной безопасности на ООО «Овен»
1.1 Характеристика предприятия. Организационно-штатная структура предприятия. Служба, занимающаяся информационными ресурсами и их защитой
Полное фирменное название предприятия - Общество с ограниченной ответственностью «Овен». Сокращенное наименование Общества - ООО «Овен». Далее по тексту Общество. Общество не имеет филиалов и представительств, единственный его центр расположен в Пермском крае, Суксунском районе, д. Мартьяново.
Общество было образовано в 1990 году как небольшое фермерское хозяйство и имело трех учредителей. После реорганизации фермерского хозяйства в крестьянское хозяйство в 1998 остался единственный учредитель. Последний раз реорганизация была в апреле 2004 года. С 1 апреля предприятие стало именоваться обществом с ограниченной ответственностью «Овен».
Основное направление деятельности общества - выращивание сельскохозяйственной продукции, семенного материала, реализация сельхоз продукции. Сегодня в России общество занимает тринадцатое место среди картофелеводческих хозяйств и первое в Пермском крае.
Юридический адрес: Россия, 617553, Пермский край, Суксунский, д. Мартьяново.
Цели предприятия в целом:
· Получение прибыли основной деятельности.
· Повышение конкурентоспособности продукции и расширение рынков сбыта.
· Концентрация капитала и наращивание инвестиционных ресурсов для реализации инвестиционных и иных проектов.
Миссия предприятия общества:
1. Продолжать занимать лидирующие позиции на рынке.
2. Создание семеноводческого хозяйства.
Организационная структура предприятия.
На предприятии используется линейно-функциональная структур. В линейно-функциональной структуре формируется иерархия служб. В этой структуре руководители функциональных подразделений имеют право отдавать распоряжения на следующую ступень управления по функциональным вопросам.
Структура предприятия представлена на рисунке 1.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Рисунок 1 - Организационная структура ООО «Овен»
1.2 Анализ и характеристика информационных ресурсов предприятия
Сегодня все озабочены безопасностью корпоративной информации. Все большую популярность приобретают отдельные программы и целые комплексы, предназначенные для защиты данных. Однако никто не задумывается над тем, что можно иметь сколько угодно надежную защиту, но все равно потерять важную информацию. Потому, что кто-то из ваших сотрудников сочтет ее незначащей и выставит на всеобщее обозрение. И если вы уверены, что защищены от этого, то сильно заблуждаетесь. На первый взгляд подобная ситуация выглядит чем-то нереальным, похожим на анекдот. Однако такое действительно случается, причем случается часто. И действительно, технический персонал, который в подавляющем большинстве случаев и занимается проблемами безопасности информации, не всегда понимает, какие данные нужно прятать, а какие нет. Для того, чтобы понять нужно разбить всю информацию на разные типы, которые принято называть типами, и четко определить границы между ними.
Собственно говоря, все компании, специализирующиеся на поставке комплексных систем обеспечения безопасности компьютерной информации, учитывают деление данных по различным типам. Вот только тут надо быть осторожным. Дело в том, что западные продукты следуют международным стандартам (в частности, ISO 17799 и некоторым другим). Согласно им все данные делятся по трем типам: открытые, конфиденциальные и строго конфиденциальные. Между тем в нашей стране согласно действующему законодательству используется несколько иное разграничение: открытая информация, для внутреннего использования и конфиденциальная.
Под открытой подразумевается любая информация, которая может свободно передаваться другим лицам, а также размещаться в средствах массовой информации. Чаще всего она представляется в виде пресс-релизов, выступлений на конференциях, презентациях и выставках, отдельных (естественно, положительных) элементов статистики. Помимо этого, к данному грифу относятся все данные, полученные из открытых внешних источников. Ну и, естественно, информация, предназначенная для корпоративного веб-сайта, тоже считается публичной.
На первый взгляд кажется, что открытая информация не нуждается в защите. Однако люди забывают, что данные можно не только похитить, но и подменить. А поэтому сохранение целостности открытой информации - очень важная задача. Иначе вместо заранее подготовленного пресс-релиза может получиться непонятно что. Или главная страница корпоративного сайта будет подменена оскорбительными надписями. Так что открытая информация тоже нуждается в защите.
Как и любое другое предприятие, общество имеет открытую информацию, содержащуюся в основном в презентациях демонстрируемых возможным инвесторам.
К информация для внутреннего использования относятся любые данные, которые используются сотрудниками для осуществления своих профессиональных обязанностей. Но это еще не все. К этой категории относится вся информация, которой обмениваются между собой различные подразделения или филиалы для обеспечения своей работоспособности. И, наконец, последний тип данных, попадающих под эту категорию данных, - информация, полученная из открытых источников и подвергнутая обработке (структурированию, редактированию, внесению пояснений).
Фактически вся эта информация, даже попав в руки конкурентов или злоумышленников, не может нанести серьезного вреда компании. Однако некоторый ущерб от ее похищения все-таки может быть. Допустим, сотрудники собрали для своего начальника новости по интересующей его теме, среди которых выбрали самые важные сообщения и пометили их. Такой дайджест явно является информацией для внутреннего использования (информация получена из открытых источников и подвергнута обработке). На первый взгляд кажется, что конкуренты, заполучив его, не смогут извлечь из него пользы. Но на самом деле они могут догадаться, какое направление деятельности интересует руководство вашей компании, и, кто знает, может быть, у них даже получится опередить вас. А поэтому информация для внутреннего использования должна быть защищена не только от подмены, но и от несанкционированного доступа. Правда, в подавляющем большинстве случаев можно ограничиться безопасностью локальной сети, потому что тратить крупные суммы на это экономически невыгодно.
На предприятии представлен и этот вид информации, которая содержится в различного рода отчетах, списках, выписках и т.п.
Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, не являющаяся общедоступной и в случае разглашения способная нанести ущерб правам и охраняемым законом интересам предоставившего ее лица. Перечень данных, относящихся к этому грифу, устанавливается государством. На данный момент он таков: персональная информация, информация, составляющая коммерческую, служебную или профессиональную тайну, сведения, являющиеся тайной следствия и делопроизводства. Кроме того, в последнее время к конфиденциальным стали относить данные о сущности изобретения или научного открытия до их официального опубликования.
К конфиденциальной информации на предприятии можно отнести такие данные как: план развития, научно-исследовательские работы, техническая документация, чертежи, распределение прибыли, договора, отчеты, ресурсы, партнеры, переговоры, контракты, а также информация управленческого и планового характера.
На предприятии имеется порядка двадцати ПК. Что же касается наличия локальной сети на предприятии, то ПК в обществе не объединены в единую сеть. Кроме того, все компьютеры оснащены стандартным набором офисных программ и бухгалтерских программ. Три компьютера имеют выход в Интернет через Минипорт WAN. При этом ни один компьютер на предприятии не оснащен антивирусной программой. Обмен информацией осуществляется посредством носителей: флешек, дискет. Вся информация на «традиционных» носителях расположена в шкафах, которые не запираются. Наиболее важные документы располагаются в сейфе, ключи от которого хранятся у секретаря.
информация защита безопасность
1.3 Угрозы и средства защиты информации на предприятии
Угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее
По способам воздействия на объекты информационной безопасности угрозы, актуальные для общества, подлежат следующей классификации: информационные, программные, физические, организационно-правовые.
К информационным угрозам относятся:
· несанкционированный доступ к информационным ресурсам;
· хищение информации из архивов и баз данных;
· нарушение технологии обработки информации;
· противозаконный сбор и использование информации;
К программным угрозам относятся:
· компьютерные вирусы и вредоносные программы;
К физическим угрозам относятся:
· уничтожение или разрушение средств обработки информации и связи;
· хищение носителей информации;
· воздействие на персонал;
К организационно-правовым угрозам относятся:
· закупки несовершенных или устаревших информационных технологий и средств информатизации;
Средства защиты информации -- это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.
Рассмотрим средства защиты информации, применяемые на предприятии. Всего их существует четыре (аппаратные, программные, смешанные, организационные).
Аппаратные средства защиты - замки, решетки на окнах, защитная сигнализация, сетевые фильтры, камеры видеонаблюдения.
Программные средства защиты: используются средства операционной системы, такие как защита, паролем, учетные записи.
Организационные средства защиты: подготовка помещений с компьютерами.
2 Совершенствование системы информационной безопасности
2.1 Выявленные недостатки в системе защиты информации
Самым уязвимым местом в защите информации в обществе является защита компьютерной безопасности. В ходе даже поверхностного анализа на предприятии можно выделить следующие недостатки:
§ Редко производится резервное копирование информации;
§ Недостаточный уровень программных средств защиты информации;
§ Некоторые сотрудники имеют недостаточный навык владения ПК;
§ Не ведется контроль за сотрудниками. Часто работники могут уйти с места работы, не отключив свой ПК и имея при себе флеш-носитель со служебной информацией.
§ Отсутствие нормативных документов по информационной безопасности.
§ Не на всех компьютерах используются средства ОС, такие как пароли и учетные записи.
2.2 Цели и задачи формирования системы ИБ на предприятии
Главной целью системы информационной безопасности является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов предприятия от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений объекта. Другой целью системы информационной безопасности является повышение качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов.
Задачи формирования системы информационной безопасности в организации являются: целостность информации, достоверность информации и ее конфиденциальность. При выполнении поставленных задач, цель будет реализована.
Создание систем информационной безопасности (СИБ) в ИС и ИТ основывается на следующих принципах:
Системный подход к построению системы защиты, означающий оптимальное сочетание взаимосвязанных организационных, программных, аппаратных, физических и других свойств, подтвержденных практикой создания отечественных и зарубежных систем защиты и применяемых на всех этапах технологического цикла обработки информации.
Принцип непрерывного развития системы. Этот принцип, являющийся одним из основополагающих для компьютерных информационных систем, еще более актуален для СИБ. Способы реализации угроз информации в ИТ непрерывно совершенствуются, а потому обеспечение безопасности ИС не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования СИБ, непрерывном контроле, выявлении ее узких и слабых мест, потенциальных каналов утечки информации и новых способов несанкционированного доступа.
Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т. е. предоставление, как пользователям, так и самим работникам ИС, минимума строго определенных полномочий, достаточных для выполнения ими своих служебных обязанностей.
Полнота контроля и регистрации попыток несанкционированного доступа, т. е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в ИТ без ее предварительной регистрации.
Обеспечение надежности системы защиты, т. е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей и обслуживающего персонала.
Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.
Обеспечение всевозможных средств борьбы с вредоносными программами.
Обеспечение экономической целесообразности использования системы защиты, что выражается в превышении возможного ущерба ИС и ИТ от реализации угроз над стоимостью разработки и эксплуатации СИБ.
2.3 Предлагаемые мероприятия по улучшению системы информационной безопасности организации
Выявленные недостатки на предприятии требуют их устранения, поэтому предлагается проведение следующих мероприятий.
§ Регулярное резервное копирование БД с личными данными сотрудников общества, с бухгалтерскими данными и др. баз, имеющихся на предприятии. Это предотвратит потерю данных из-за сбоев дисков, отключения электропитания, воздействия вирусов и других случайностей. Тщательное планирование и регулярное проведение процедур резервного копирования позволяет при потере данных быстро их восстановить.
§ Использование средств ОС на каждом компьютере. Создание учетных записей для специалистов и регулярная смена пароля для этих учетных записей.
§ Обучение персонала предприятия работе с компьютерами. Необходимое условие для правильной работы на рабочих станциях и предотвращения потери и повреждения информации. От навыков владения ПК персоналом зависит работа всего предприятия, в плане правильности выполнения.
§ Установка на компьютеры антивирусных программ таких как: Avast, NOD, Doctor Web и т.п. Это позволит избежать заражение компьютеров различными вредоносными программами, называемыми вирусы. Что очень актуально для данного предприятия, так как несколько ПК имеет доступ в Интернет и сотрудники для обмена информацией пользуются флеш-носителями.
§ Ведение контроля за сотрудниками, с помощью видеокамер. Это позволит сократить случаи халатного обращения с оборудованием, риск краж оборудования и их порчи, а также позволит контролировать «вынос» служебной информации с территории общества.
§ Разработка нормативного документа «Меры защиты информации в ООО «Овен» и ответственность за их нарушения», который бы соответствовали действующему законодательству РФ и определит риски, нарушения и ответственность за эти нарушения (штрафы, наказания). А также внесения соответствующей графы в трудовой договор общества, что он ознакомлен и обязуется выполнять положения данного документа.
2.4 Эффективность предложенных мероприятий
Предложенные мери несут в себе не только положительные моменты, такие как устранение основных проблем на предприятии, касающихся информационной безопасности. Но при этом они потребуют дополнительных вложений на обучение персонала, разработку нормативных документов, касающихся политики безопасности. Потребует дополнительных затрат труда и не исключат стопроцентно риски. Всегда будет иметь место человеческий фактор, форс-мажорные обстоятельства. Но если такие меры не предпринять затраты на восстановление информации, потерянные возможности по стоимости превзойдут те затраты, что требуются для разработки системы безопасности.
Рассмотрим результаты предложенных мер:
1. Повышения надежности системы ИБ организации;
2. Повышение уровня владения ПК персонала;
3. Уменьшен риск потери информации;
4. Наличие нормативного документа определяющего политику безопасности.
5. Возможно, уменьшит риск внесения/вынесения информации с предприятия.
3 Модель информационной безопасности
Представленная модель информационной безопасности (рисунок 2) - это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.
Рисунок 2 - Модель системы информационной безопасности
Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 "Информационная технология - методы защиты - критерии оценки информационной безопасности", стандарту ISO/IEC 17799 "Управление информационной безопасностью", и учитывает тенденции развития отечественной нормативной базы (в частности, Гостехкомиссии РФ) по вопросам информационной безопасности.
Выводы и предложения
Информационная эра привела к драматическим изменениям в способе выполнения своих обязанностей для большого числа профессий. Теперь нетехнический специалист среднего уровня может выполнять работу, которую раньше делал высококвалифицированный программист. Служащий имеет в своем распоряжении столько точной и оперативной информации, сколько никогда не имел.
Но использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем для руководства организацией. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным. Все увеличивается число компьютерных преступлений, что может привести, в конечном счете, к подрыву экономики. И поэтому должно быть ясно, что информация - это ресурс, который надо защищать.
И так как автоматизация привела к тому, что теперь операции с вычислительной техникой выполняются простыми служащими организации, а не специально подготовленным техническим персоналом, нужно, чтобы конечные пользователи знали о своей ответственности за защиту информации.
Единого рецепта, обеспечивающего 100% гарантии сохранности данных и надёжной работы сети не существует. Однако создание комплексной, продуманной концепции безопасности, учитывающей специфику задач конкретной организации, поможет свести риск потери ценнейшей информации к минимуму. Компьютерная защита - это постоянная борьба с глупостью пользователей и интеллектом хакеров.
В заключение хочется сказать о том, что защита информации не ограничивается техническими методами. Проблема значительно шире. Основной недостаток защиты - люди, и поэтому надежность системы безопасности зависит в основном от отношения к ней служащих компании. Помимо этого, защита должна постоянно совершенствоваться вместе с развитием компьютерной сети. Не стоит забывать, что мешает работе не система безопасности, а ее отсутствие.
Так же хотелось бы, подводя итоги данного курсового проекта, отметить, что, проанализировав систему ИБ предприятия «Овен» были выявлены пять недостатков. После поиска были найдены решения по их устранению, эти недостатки могут быть исправлены, что улучшит ИБ предприятия в целом.
В ходе вышеописанных действий, отрабатывались практические и теоретические навыки изучения системы ИБ, следовательно, цель курсового проекта достигнута. Благодаря найденным решениям, можно сказать, что все задачи проекта были выполнены.
Список литературы
1. ГОСТ 7.1-2003. Библиографическая запись. Библиографическое описание. Общие требования и правила составления (М. : Изд-во стандартов, 2004).
2. Галатенко, В.А. «Основы информационной безопасности». - М.:«Интуит», 2003.
3. Завгородний, В. И. «Комплексная защита информации в компьютерных системах». - М.: «Логос», 2001.
4. Зегжда, Д.П., Ивашко, А.М. «Основы безопасности информационных систем».
5. Носов, В.А. Вводный курс по дисциплине “Информационная безопасность”.
6. Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Размещено на Allbest.ru
Подобные документы
Характеристика информационных ресурсов агрохолдинга "Ашатли". Угрозы информационной безопасности, характерные для предприятия. Меры, методы и средства защиты информации. Анализ недостатков существующей и преимущества обновленной системы безопасности.
курсовая работа , добавлен 03.02.2011
Общие сведения о деятельности предприятия. Объекты информационной безопасности на предприятии. Меры и средства защиты информации. Копирование данных на сменный носитель. Установка внутреннего Backup-сервера. Эффективность совершенствования системы ИБ.
контрольная работа , добавлен 29.08.2013
Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат , добавлен 15.11.2011
Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
реферат , добавлен 20.01.2014
Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа , добавлен 19.12.2012
Стратегия информационной безопасности предприятия в виде системы эффективных политик, которые определяли бы эффективный и достаточный набор требований безопасности. Выявление угроз информационной безопасности. Внутренний контроль и управление рисками.
курсовая работа , добавлен 14.06.2015
Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа , добавлен 17.11.2012
Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.
дипломная работа , добавлен 31.10.2016
Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа , добавлен 07.10.2016
Задачи, структура, физические, программные и аппаратные меры защиты информационной системы. Типы и причины компьютерных преступлений, пути усовершенствования политики безопасности организации. Назначение и основные функции папки "Дневник" MS Outlook 97.
