PROBLEME LIGJORE TË PËRDORIMIT TË TEKNOLOGJIVE KOMPJUTERIKE DHE PËRMIRËSIMI I LEGJISLACIONIT
PËRMIRËSIMI I MEKANIZMIT INSTITUCIONAL TË OFRIMIT TË SIGURISË TË INFORMACIONIT NË RF
PËRMIRËSIMI I MEKANIZMIT INSTITUCIONAL PËR SIGURINË E SIGURISË SË INFORMACIONIT TË FEDERATISË RUSE
© Koblova Yulia Alexandrovna
Yuliya A. Koblova
Kandidat i Shkencave Ekonomike, Profesor i Asociuar i Departamentit të Ekonomisë Institucionale dhe Sigurisë Ekonomike, Instituti Socio-Ekonomik Saratov (dega) i Institucionit Arsimor Buxhetor të Shtetit Federal të Arsimit të Lartë Profesional “PRUE im. G.V. Plekhanov "
Cand.Sc. (Ekonomi), profesor i asociuar në departamentin e ekonomisë institucionale, instituti socio-ekonomik i Saratovit (dega) i Universitetit të Ekonomisë Ruse Plekhanov
e-mail: [email i mbrojtur]
Artikulli shqyrton aspektet institucionale të garantimit të sigurisë së informacionit të shtetit. Zbulohet thelbi dhe roli i mekanizmit institucional në sigurimin e sigurisë së informacionit të shtetit. Është dhënë vlerësimi i mbështetjes institucionale të sigurisë së informacionit në Rusi. Evidentohen problemet dhe propozohet një sistem masash për përmirësimin e mekanizmit institucional për garantimin e sigurisë së informacionit në vend.
Fjalët kyçe: institucionet, mekanizmi institucional, siguria e informacionit, hapësira e internetit.
Punimi shqyrton aspektet institucionale të garantimit të sigurisë së informacionit të shtetit. Autori zbulon thelbin dhe rolin e mekanizmit institucional në sigurimin e sigurisë së informacionit shtetëror, vlerëson mekanizmin institucional të sigurimit të sigurisë së informacionit në Rusi, nxjerr në pah sfidat kryesore dhe sugjeron një sistem masash për të përmirësuar mekanizmin institucional për të garantuar sigurinë e informacionit.
Fjalët kyçe: institucionet, mekanizmat institucionalë, siguria e informacionit, hapësira e internetit.
Sigurimi i sigurisë së informacionit të shtetit është një funksion mjaft i ri shtetëror me një shtrirje dhe përmbajtje të pazgjidhur metodash dhe mjetesh.
policët. Formimi i tij është për shkak të nevojës për të mbrojtur shoqërinë dhe shtetin nga kërcënimet e informacionit që lidhen me zhvillimin e informacionit dhe komunikimit më të fundit.
teknologjive onny. Shkalla e pasojave negative të këtyre kërcënimeve për shtetet, organizatat, njerëzit tashmë është kuptuar nga komuniteti botëror, prandaj detyra më e rëndësishme e shtetit është të zhvillojë një sistem masash për parandalimin dhe neutralizimin e tyre. Një rol të rëndësishëm në arritjen e sigurisë së informacionit të shtetit luan mekanizmi institucional i ofrimit të tij. Efektiviteti i sistemit institucional që zbaton interesat publike është çelësi i harmonizimit të tyre për të garantuar interesat më të larta shtetërore, duke përfshirë sigurinë kombëtare dhe atë të informacionit.
Kujtojmë se institucionet janë rregullat e ndërveprimeve (“rregullat e lojës”) në shoqëri të krijuara nga vetëdija dhe përvoja njerëzore, kufizimet dhe parakushtet për zhvillim në politikë, sferën sociale dhe ekonomi. Institucionet që mbështesin rritjen ekonomike afatgjatë janë ligjet dhe rregulloret që formojnë stimujt dhe mekanizmat. Institucionet ofrojnë një sistem stimujsh pozitivë dhe negativë, reduktojnë pasigurinë dhe e bëjnë mjedisin social më të parashikueshëm. Janë të njohura institucionet që garantojnë sigurinë e informacionit: shteti i së drejtës, një gjykatë e pavarur dhe kompetente, mungesa e korrupsionit etj.
Mekanizmi institucional për garantimin e sigurisë së informacionit është një komponent i veçantë strukturor i mekanizmit ekonomik që siguron krijimin e rregullave dhe rregulloreve që rregullojnë ndërveprimin e subjekteve të ndryshme ekonomike në sferën e informacionit për të parandaluar kërcënimet ndaj sigurisë së informacionit. Mekanizmi institucional vë në lëvizje institucionet (formale dhe joformale), strukturon ndërveprimet e subjekteve dhe monitoron respektimin e normave dhe rregullave të vendosura.
Thelbi i mekanizmit institucional manifestohet përmes funksioneve të tij. O.V. Inshakov dhe N.N. Lebedeva beson se mekanizmi institucional kryen funksionet e mëposhtme, të cilat janë gjithashtu të zbatueshme për mekanizmin e sigurisë së informacionit:
1) integrimi i agjentëve në një institucion për të kryer veprimtari të përbashkëta në kuadër të statuseve dhe normave të përbashkëta;
2) diferencimi i normave dhe statuseve, si dhe i subjekteve dhe agjentëve të institucioneve të ndryshme në kërkesa që i ndajnë dhe i shpërfill ato; rregullimi i ndërveprimit ndërmjet instituteve
atë dhe agjentët e tij në përputhje me kërkesat e përcaktuara;
3) zbatimi i përkthimit të kërkesave të reja në praktikë reale;
4) sigurimi i riprodhimit të risive rutinë;
5) vartësia dhe bashkërendimi i marrëdhënieve ndërmjet subjekteve që u përkasin institucioneve të ndryshme;
6) informimi i subjekteve për norma të reja dhe për sjellje oportuniste;
7) rregullimi i veprimtarisë së subjekteve që ndajnë dhe refuzojnë kërkesat e përcaktuara nga institucioni;
8) kontroll mbi zbatimin e normave, rregullave dhe marrëveshjeve.
Pra, mekanizmi institucional për garantimin e sigurisë së informacionit përfshin kuadrin legjislativ dhe strukturat institucionale që e mbështesin atë. Përmirësimi i këtij mekanizmi përfshin riorganizimin e kuadrit ligjor për sigurinë e informacionit dhe strukturave institucionale për përballimin e kërcënimeve të sigurisë së informacionit.
Mekanizmi institucional për garantimin e sigurisë së informacionit përfshin: miratimin e ligjeve të reja që do të merrnin parasysh interesat e të gjitha subjekteve të sferës së informacionit; ruajtja e një ekuilibri midis funksioneve krijuese dhe kufizuese të ligjeve në sferën e informacionit; integrimi i Rusisë në hapësirën ligjore globale; duke marrë parasysh gjendjen e sferës së teknologjive vendase të informacionit.
Deri më sot, Rusia ka formuar një bazë legjislative në fushën e sigurisë së informacionit, e cila përfshin:
1. Ligjet e Federatës Ruse: Kushtetuta e Federatës Ruse, "Për sigurinë"; "Për organet e Shërbimit Federal të Sigurisë në Federatën Ruse", "Për sekretet shtetërore", "Për inteligjencën e huaj", "Për pjesëmarrjen në shkëmbimin ndërkombëtar të informacionit", "Për informacionin, teknologjitë e informacionit dhe mbrojtjen e informacionit", "Për elektronike nënshkrimi dixhital” etj.
2. Aktet ligjore normative të Presidentit të Federatës Ruse: Doktrina e sigurisë së informacionit të Federatës Ruse; Strategjia e Sigurisë Kombëtare e Federatës Ruse deri në vitin 2020, "Mbi themelet e politikës shtetërore në fushën e informatizimit", "Për listën e informacionit të klasifikuar si sekret shtetëror", etj.
3. Aktet ligjore normative të Qeverisë së Federatës Ruse: "Për certifikimin
mjetet e mbrojtjes së informacionit "," Për licencimin e veprimtarive të ndërmarrjeve, institucioneve dhe organizatave për të kryer punë në lidhje me përdorimin e informacionit që përbën sekret shtetëror, krijimin e mjeteve të sigurisë së informacionit, si dhe zbatimin e masave dhe (ose) ofrimin e shërbimeve për mbrojtjen e sekretit shtetëror "," Për licencimin e llojeve të caktuara të veprimtarive ", etj.
4. Kodi Civil i Federatës Ruse (pjesa e katërt).
5. Kodi Penal i Federatës Ruse.
Në vitet e fundit, Rusia ka zbatuar
një grup masash për të përmirësuar sigurimin e sigurisë së informacionit. Janë zbatuar masa për të siguruar sigurinë e informacionit në organet e qeverisë federale, organet qeveritare të subjekteve përbërëse të Federatës Ruse, në ndërmarrje, institucione dhe organizata, pavarësisht nga forma e pronësisë. Po punohet për mbrojtjen e sistemeve të veçanta të informacionit dhe telekomunikacionit. Zgjidhja efektive e problemeve të sigurisë së informacionit në Federatën Ruse lehtësohet nga sistemi shtetëror i mbrojtjes së informacionit, sistemi i mbrojtjes së sekretit shtetëror dhe sistemi i certifikimit për mjetet e mbrojtjes së informacionit.
Komisioni Teknik Shtetëror nën Presidentin e Federatës Ruse ndjek një politikë të unifikuar teknike dhe koordinon punën në fushën e mbrojtjes së informacionit, është përgjegjës për sistemin shtetëror për mbrojtjen e informacionit nga inteligjenca teknike dhe siguron mbrojtjen e informacionit nga rrjedhja përmes kanaleve teknike. në Rusi dhe monitoron efektivitetin e masave mbrojtëse të marra.
Organizatat shtetërore dhe publike luajnë një rol të rëndësishëm në sistemin e sigurisë së informacionit të vendit: ato ushtrojnë kontroll mbi mediat shtetërore dhe joshtetërore.
Në të njëjtën kohë, niveli i sigurisë së informacionit në Rusi nuk i plotëson plotësisht nevojat e shoqërisë dhe shtetit. Në kushtet e shoqërisë së informacionit, rëndohen kontradiktat ndërmjet nevojës publike për zgjerim dhe lirisë së shkëmbimit të informacionit, nga njëra anë, dhe nevojës për të ruajtur disa kufizime të rregulluara në shpërndarjen e tij.
Aktualisht, nuk ka mbështetje institucionale për të drejtat e qytetarëve në sferën e informacionit të parashikuar në Kushtetutën e Federatës Ruse (për paprekshmërinë e jetës private, sekretet personale, sekretin e korrespondencës, etj.). Largohu
Mbrojtja e të dhënave personale që mblidhen nga autoritetet federale është e dëshirueshme.
Ekziston një mungesë e qartësisë në drejtimin e politikës shtetërore në formimin e hapësirës së informacionit të Federatës Ruse, mediave, shkëmbimit ndërkombëtar të informacionit dhe integrimit të Rusisë në hapësirën globale të informacionit.
Përmirësimi i mekanizmit institucional të sigurisë së informacionit të shtetit, sipas mendimit tonë, duhet të synojë zgjidhjen e problemeve të rëndësishme të mëposhtme.
Orientimi i dobët praktik i legjislacionit modern rus në sferën e informacionit krijon probleme të një natyre ligjore dhe metodologjike. Shprehen mendime se Doktrina e Sigurisë së Informacionit të Federatës Ruse nuk ka vlerë të zbatueshme, përmban shumë pasaktësi dhe gabime metodologjike. Pra, objektet e sigurisë së informacionit në Doktrinë janë interesat, personaliteti, shoqëria, shteti - koncepte që nuk janë të krahasueshme me njëri-tjetrin. Shumë shkencëtarë tërhoqën vëmendjen për papranueshmërinë e pranimit të mbrojtjes së interesave, dhe jo të bartësve të tyre, si objekt i sigurisë së informacionit.
Përdorimi i këtyre kategorive, përmbajtja e të cilave është e paqartë, në një dokument legjislativ nuk është krejtësisht i papërshtatshëm. Për shembull, subjekte të së drejtës janë personat juridikë dhe individët, organizatat, personat pa shtetësi, autoritetet ekzekutive. Kategoria "shtet" përfshin territorin e vendit, popullsinë (kombin) e tij, pushtetin politik, rendin kushtetues.
Doktrina e Sigurisë së Informacionit të Federatës Ruse njeh si burime të kërcënimeve për sigurinë e informacionit:
Veprimtaritë e strukturave të huaja;
Zhvillimi i koncepteve të luftërave informative nga një sërë shtetesh;
Dëshira e një sërë vendesh për të dominuar, etj.
Sipas G. Atamanov, burimi mund të jetë një objekt ose subjekt që merr pjesë në procesin e informacionit ose është në gjendje të ndikojë atë në një shkallë ose në një tjetër. Për shembull, në ligjin amerikan, burimet e kërcënimeve ndaj infrastrukturës së informacionit përfshijnë: hakerat kundër Shteteve të Bashkuara; grupe terroriste; shtetet kundër të cilave mund të drejtohet një operacion antiterrorist;
hakerë, kureshtarë ose të vetë-pohuar.
Mangësitë dhe natyra e kornizës së Doktrinës zvogëlojnë efektivitetin dhe kufizojnë fushën e zbatimit të saj, vendosin drejtimin e gabuar për zhvillimin e legjislacionit në sferën e informacionit dhe e ngatërrojnë atë gjithnjë e më shumë.
Për të siguruar siç duhet sigurinë e informacionit, është e nevojshme të krijohet një sistem i përshtatshëm i marrëdhënieve juridike, i cili, nga ana tjetër, është i pamundur pa rishikuar aparatin kategorik, themelin doktrinor dhe konceptual të legjislacionit në sferën e informacionit.
2. Hendeku ndërmjet legjislacionit dhe praktikës në sferën e informacionit.
Një hendek i madh midis legjislacionit dhe praktikës në sferën e informacionit ekziston objektivisht për shkak të shpejtësisë dhe shkallës së zhvillimit të teknologjive të informacionit dhe internetit, të cilat menjëherë gjenerojnë kërcënime të reja. Procesi legjislativ, përkundrazi, është i gjatë dhe i mprehtë. Prandaj, në kushtet moderne nevojiten mekanizma për harmonizimin e zhvillimit të ligjeve me realitetet e zhvillimit të teknologjisë së informacionit dhe shoqërisë së informacionit. Është e rëndësishme që vonesa të mos jetë shumë e madhe, pasi kjo është e mbushur me një ulje ose humbje të sigurisë së informacionit.
Kapërcimi i hendekut midis praktikës dhe legjislacionit në sferën e informacionit është i nevojshëm për të reduktuar dhe neutralizuar kërcënimet ndaj sigurisë së informacionit që rrjedhin nga avancimi i zhvillimit të teknologjisë së informacionit dhe shfaqja e një vakumi në legjislacion.
3. Mungesa e institucioneve mbikombëtare që garantojnë sigurinë e informacionit.
Është e pamundur të përballosh krimet e kryera në internet me forcat e një vendi. Masat ndaluese të vendosura në nivel kombëtar nuk do të jenë efektive, pasi shkelësit mund të gjenden jashtë vendit. Për t'i luftuar ato, është e nevojshme të konsolidohen përpjekjet në nivel ndërkombëtar dhe të miratohen rregullat ndërkombëtare të sjelljes në hapësirën e internetit. Përpjekje të ngjashme janë bërë. Pra, Konventa e Budapestit e Këshillit të Evropës lejoi ndjekjen penale të shkelësve në territorin e një shteti tjetër pa paralajmëruar autoritetet e tij. Kjo është arsyeja pse shumë vende e panë të papranueshme ratifikimin e këtij dokumenti.
Ligji model “Për bazat e rregullimit të internetit”, miratuar në seancë plenare
mbledhja e Asamblesë Ndërparlamentare të Shteteve Anëtare të CIS, përcakton procedurën për mbështetjen shtetërore dhe rregullimin e internetit, si dhe rregullat për përcaktimin e vendit dhe kohës së veprimeve juridikisht të rëndësishme në rrjet. Gjithashtu, ligji rregullon aktivitetet dhe përgjegjësitë e operatorëve të shërbimeve.
Është gjithashtu e nevojshme të theksohet ratifikimi i dokumentit që lejon shkëmbimin e informacionit konfidencial në territorin e Rusisë, Bjellorusisë dhe Kazakistanit. Ky është një protokoll që përcakton procedurën e dhënies së informacionit që përmban informacion konfidencial për hetimet që paraprijnë vendosjen e masave të veçanta mbrojtëse, antidumping dhe kundërbalancuese në lidhje me vendet e treta. Kjo është një marrëveshje shumë e rëndësishme e shteteve anëtare të Bashkimit Doganor, e cila na lejon të zhvillojmë dhe ndërtojmë së bashku masa mbrojtëse antidumping dhe kundërbalancuese. Kështu, sot është organizuar një kuadër rregullator solid, i cili krijon një organ thelbësisht të ri mbikombëtar të autorizuar jo vetëm për të kryer hetime, për të mbledhur prova, por edhe për ta mbrojtur atë nga rrjedhjet, duke përcaktuar procedurën e sigurimit.
Formimi i institucioneve mbikombëtare në sferën e informacionit do të bëjë të mundur tejkalimin e kufizimeve të legjislacionit kombëtar në luftën kundër krimeve të informacionit.
4. Mungesa e institucioneve të hapësirës së internetit.
Aktualisht, institucione të tilla të reja duhet të shfaqen në të drejtën ndërkombëtare për të rregulluar ndërveprimin e subjekteve në hapësirën e internetit si "kufiri elektronik", "sovraniteti elektronik", "tatimet elektronike" dhe të tjera. Kjo do të ndihmojë për të kapërcyer natyrën latente të krimit kibernetik, d.m.th. rritjen e shkallës së zbulimit të krimeve kibernetike.
5. Zhvillimi i partneritetit publiko-privat në sferën e informacionit.
Një dilemë interesante paraqet një dilemë interesante përballë përpjekjes së organizatave qeveritare për të publikuar raporte mbi shëndetin e sistemeve të tyre të sigurisë së informacionit. Nga njëra anë, këto botime pasqyrojnë përpjekjet e shtetit për të mbajtur sistemin e sigurisë kibernetike në lartësinë e duhur. Duket se një rezultat i tillë duhet të çojë në një strukturë kostoje më efikase për sigurinë kibernetike. Por, nga ana tjetër, publikimi i informacionit për mangësitë e sistemit të sigurisë kibernetike
Revistë shkencore dhe praktike. ISSN 1995-5731
Siguria e organizatave qeveritare ka më shumë gjasa t'i bëjë ato të prekshme ndaj sulmeve të hakerëve, gjë që nënkupton nevojën për më shumë burime për t'i zmbrapsur dhe parandaluar ato.
Gordon dhe Loeb e konsiderojnë problemin e "udhëtimeve falas" (// tee-^ em) si sfidën më të madhe në sigurimin e bashkëpunimit dhe ndarjes së informacionit të lidhur me sigurinë midis agjencive qeveritare dhe korporatave. Duket se meqenëse siguria e rrjeteve kompjuterike varet nga veprimet e secilit pjesëmarrës, një bashkëpunim i tillë është mënyra më e mirë për të rritur efikasitetin e fondeve të shpenzuara për sigurinë kibernetike. Një shkëmbim i suksesshëm i informacionit dhe i përvojës në fushën e sigurisë kibernetike mund të ofrojë një mundësi për të koordinuar aktivitete të tilla në nivel kombëtar dhe ndërkombëtar. Por në realitet, frika e një kompanie për të humbur avantazhin e saj konkurrues duke marrë pjesë në një bashkëpunim të tillë rrjeti dhe duke ofruar informacion të plotë për veten, çon në një paragjykim.
nga dhënia e informacionit të plotë. Situata këtu mund të ndryshohet vetëm nga zhvillimi i partneriteteve publike-private bazuar në futjen e stimujve mjaft të rëndësishëm ekonomikë.
Pra, mekanizmi institucional i garantimit të sigurisë së informacionit të shtetit presupozon formimin e një kuadri legjislativ dhe strukturave institucionale që e sigurojnë atë. Për të përmirësuar mekanizmin institucional dhe për të formuar një arkitekturë të re të sigurisë ekonomike në ekonominë e informacionit, është propozuar një sistem masash, duke përfshirë: tejkalimin e natyrës deklarative të legjislacionit dhe reduktimin e hendekut midis legjislacionit dhe praktikës në sferën e informacionit, formimin e legjislacioni mbikombëtar në sferën e informacionit, krijimi i institucioneve të reja që përcaktojnë kuadrin e ndërveprimit dhe rregullat e sjelljes në hapësirën e internetit.
Lista bibliografike (Referencat)
1. Inshakov OV, Lebedeva N.N. Mekanizmat ekonomikë dhe institucionalë: korrelacioni dhe ndërveprimi në kushtet e transformimit social dhe të tregut të ekonomisë ruse // Buletini i Shën Petersburg. shteti çizme lesh. Ser. 5. 2008. Çështje. 4 (nr. 16).
2. Dzliev M.I., Romanovich A.L., Ursul A.D. Problemet e sigurisë: aspekte teorike dhe metodologjike. M., 2001.
3. Atamanov GA Siguria e informacionit në shoqërinë moderne ruse (aspekti socio-filozofik): dis. ... Cand. Philos. shkencat. Volgograd, 2006.
4. Kononov AA, Smolyan GL Shoqëria e informacionit: një shoqëri me rrezik total apo një shoqëri me siguri të garantuar? // Shoqëria e informacionit. 2002. Nr. 1.
1. Inshakov O.V., Lebedeva N.N. (2008) Khozyaystvennyy i institucional "nyy mekhaniz-my: sootnosheniye i vzaimodeystviye v usloviyakh sotsial" no-rynochnoy transformatsii rossiyskoy ekonomiki // Vestnik S.-Peterb. shkon. un-ta. Ser. 5. Vyp. 4 (nr. 16).
2. Dzliyev M.I., Romanovich A.L., Ursul A.D. (2001) Problemi bezopasnosti: teoretiko-metodologicheskiye aspekty. M.
3. Atamanov G.A. (2006) Informatsionnaya bezopasnost "v sovremennom rossiyskom ob-shchestve (sotsial" no-filosofskiy aspekt). Volgograd.
4. Kononov A.A., Smolyan G.L. (2002) In-formatsionnoye obshchestvo: obshchestvo total "nogo riska ili obshchestvo garantirovannoy bezopasnosti? // Informat-sionnoye obshchestvo. Nr. 1.
PROJEKT KURSI
me temën: "Përmirësimi i sistemit të sigurisë së informacionit në ndërmarrjen LLC" MC "Ashatli"
Prezantimi
Tema e zhvillimit të një politike të sigurisë së informacionit në ndërmarrje, firma dhe organizata është e rëndësishme në botën moderne. Siguria e informacionit (në nivelin e ndërmarrjeve dhe organizatave) është siguria e informacionit dhe infrastrukturës mbështetëse nga ndikimet aksidentale ose të qëllimshme të një natyre natyrore ose artificiale që mund të shkaktojnë dëme të papranueshme për subjektet e marrëdhënieve të informacionit.
Kompania ka një rrjet modern lokal dhe është i instaluar softueri i nevojshëm, si dhe një lidhje interneti. Me ekzistencën e kaq shumë burimeve të informacionit, është gjithashtu e nevojshme të kemi një politikë të sigurisë së informacionit. Në këtë ndërmarrje është e nevojshme të përmirësohet politika e sigurisë së informacionit për të minimizuar kërcënimet e sigurisë së informacionit, që është edhe qëllimi i këtij projekti të kursit. Kërcënimi i sigurisë së informacionit është një veprim real ose i mundshëm që synon shkeljen e sigurisë së informacionit, duke çuar në dëme materiale dhe morale.
1. Analiza e sigurisë së informacionit të Ashatli MC LLC
Informacione të përgjithshme rreth organizatës
Agroholding "Ashatli" është një grup në zhvillim dinamik, i integruar vertikalisht dhe horizontalisht i kompanive bujqësore, pjesëmarrëse në projektin "Blej Permskoe!".
Agroholding "Ashatli" u themelua në vitin 2007 dhe sot ka këto fusha të veprimtarisë: bujqësi qumështi, përpunim qumështi, kultivim bimor, kultivim perimesh, sallatash dhe zarzavate në serra, luleshqitje hidroponike, si dhe shitje me pakicë të tokës dhe mishit.
Një nga avantazhet e të qenit një zotërim në zhvillim dinamik është një qasje fleksibël ndaj specifikave të punës dhe dëshirave të klientëve. Specialistët e kompanisë janë në gjendje të kryejnë punë pothuajse të çdo vëllimi dhe kompleksiteti. Përvoja e gjithanshme e punës dhe profesionalizmi i stafit na lejon të garantojmë përfundimin e çdo detyre brenda periudhës së rënë dakord.
Vendndodhja e Ashatli Management Company LLC
614010, Rusia, Territori i Permit, Perm, perspektiva Komsomolsky, 70a
1.2 Karakteristikat e burimeve të informacionit të ndërmarrjes
Sipas Ligjit Federal "Për informacionin, teknologjinë e informacionit dhe mbrojtjen e informacionit", informacioni i disponueshëm publik përfshin informacione të njohura përgjithësisht dhe informacione të tjera, qasja në të cilat nuk është e kufizuar. Informacioni i disponueshëm publikisht mund të përdoret nga çdo person sipas gjykimit të tij, duke iu nënshtruar kufizimeve të përcaktuara nga ligjet federale në lidhje me shpërndarjen e një informacioni të tillë.
Në SH.PK "MC" Ashatli "informacionet e disponueshme publike paraqiten në faqen e internetit të kompanisë ose mund të sigurohen nga menaxherët e fushatës. Ky informacion përfshin:
informacionin e përfshirë në statutin e organizatës.
Pasqyrat financiare;
Përbërja e lidershipit, etj.;
Informacion për çmimet dhe tenderët e fushatës;
Informacion për vendet e lira të punës dhe informacion për numrin dhe përbërjen e punonjësve, për kushtet e tyre të punës, për sistemin e pagave;
Detajet e kontaktit të menaxherëve të fushatës;
Organizata ka gjithashtu informacione për përdorimin dhe shpërndarjen e të cilave kufizime janë vendosur nga pronari i tyre, d.m.th. organizimi. Ky informacion quhet i mbrojtur. Kjo përfshin informacione në lidhje me jetën personale të punonjësve të organizatës.
Lloji tjetër i informacionit është informacioni sekret tregtar. Sipas Ligjit Federal "Për informacionin, teknologjitë e informacionit dhe mbrojtjen e informacionit", informacioni që përbën një sekret tregtar (sekret i prodhimit) është informacion i çdo natyre (prodhimi, teknik, ekonomik, organizativ dhe të tjera), duke përfshirë rezultatet e veprimtarisë intelektuale në sferën teknike shkencore, si dhe informacione mbi metodat e kryerjes së veprimtarive profesionale që kanë vlerë tregtare aktuale ose potenciale për shkak të të qenit të panjohur për palët e treta, në të cilat palët e treta nuk kanë akses të lirë mbi bazën ligjore, në lidhje me të cilat pronari i një informacioni të tillë ka futur një regjim sekret tregtar (fq. 2 i ndryshuar me Ligjin Federal Nr. 231-FZ, datë 18.12.2006)
Informacioni i mëposhtëm është klasifikuar si sekret tregtar në Ashatli Management Company LLC:
Informacion në lidhje me identitetin e punonjësve, adresat e shtëpive.
Informacion në lidhje me klientët, kontaktet e tyre dhe të dhënat personale.
Informacion rreth projekteve, termave dhe kushteve të kontratave.
Burimet e informacionit të kompanisë përfshijnë dokumente dhe akte letre, rrjet lokal.
1.3 Kërcënimet për sigurinë e informacionit të ndërmarrjeve specifike
Kërcënimi i sigurisë së informacionit kuptohet si shkelje e mundshme e cilësive ose vetive themelore të informacionit - disponueshmërisë, integritetit dhe konfidencialitetit. Lloji kryesor i kërcënimit për sigurinë e informacionit për një kompani të caktuar mund të konsiderohet akses i paautorizuar në informacione që lidhen me sekretet tregtare.
Sipas metodave të ndikimit në objektet e sigurisë së informacionit, kërcënimet që janë të rëndësishme për shoqërinë i nënshtrohen klasifikimit të mëposhtëm: informacion, softuer, fizik, organizativ dhe ligjor.
Kërcënimet e informacionit përfshijnë:
akses i paautorizuar në burimet e informacionit;
vjedhja e informacionit nga arkivat dhe bazat e të dhënave;
grumbullimi dhe përdorimi i paligjshëm i informacionit;
Kërcënimet e softuerit përfshijnë:
viruse kompjuterike dhe malware;
Kërcënimet fizike përfshijnë:
shkatërrimi ose shkatërrimi i objekteve të përpunimit dhe komunikimit të informacionit;
vjedhja e bartësve të informacionit;
ndikimi në personel;
Kërcënimet organizative dhe ligjore përfshijnë:
prokurimi i teknologjive të papërsosura ose të vjetruara të informacionit dhe mjeteve të informatizimit;
Ndërmarrja e Ashatli Management Company LLC mund të ekspozohet ndaj kërcënimeve të tilla informacioni, si p.sh
Hakerimi i bazave të të dhënave ose përdorimi i paautorizuar i informacionit komercial për transferimin e të dhënave te konkurrentët e ndërmarrjes, gjë që mund të ndikojë negativisht në aktivitetet e ndërmarrjes dhe, në raste ekstreme, të çojë në prishjen, likuidimin e saj.
Zbulimi i informacionit konfidencial nga punonjësit, përdorimi i tij për qëllime egoiste për fitim, pasi shumë punonjës kanë akses në bazën e të dhënave 1C Trade Management.
Punonjësit e kompanisë mund të ndikojnë qëllimisht ose aksidentalisht në shpërndarjen e informacionit, për shembull me e-mail,ICQdhe mjete të tjera dixhitale të komunikimit, të cilat mund të ndikojnë negativisht në reputacionin e ndërmarrjes, pasi ato kanë qasje në informacionet e organizatës.
Një nga kërcënimet më të zakonshme për sigurinë e informacionit janë dështimet dhe dështimet e softuerit, mjeteve teknike të kompanisë, pasi pajisjet shpeshherë edhe keqfunksionojnë më të rejat, si dhe kompania mund të furnizohet edhe me pajisje teknikisht të cilësisë së ulët.
Në Ashatli MC LLC mund të ketë një situatë të aksesit fizik të paautorizuar në mjete teknike që janë burim informacioni, si dhe vjedhje të një mediumi me informacion të rëndësishëm (flash, hard disk i jashtëm, etj.) ose vetëm të dhëna. Në thelb, kjo është vjedhje e pronës intelektuale përmes rrjetit ose vjedhje fizike e mediave.
Një nga shumë kërcënimet e rëndësishme të informacionit janë gabimet e personelit të organizatës. Lëshimet në punën e menaxherëve, kryerja e padrejtë e detyrave të tyre nga konsulentët mund të çojnë në shkelje të integritetit të informacionit, si dhe mund të lindin situata konflikti me klientët.
Kërcënimet e softuerit përfshijnë malware të ndryshëm, humbjen e fjalëkalimeve, pasigurinë e softuerit të përdorur dhe mungesën e një sistemi rezervë.
1.4 Masat, metodat dhe mjetet e mbrojtjes së informacionit të aplikuara në ndërmarrje
Niveli legjislativ i mbrojtjes është një grup aktesh legjislative në fushën e informacionit dhe teknologjisë së informacionit. Ky nivel përfshin: Kushtetutën e Federatës Ruse, Kodin Civil të Federatës Ruse, Kodin Penal të Federatës Ruse, Ligjin Federal "Për informacionin, teknologjitë e informacionit dhe mbrojtjen e informacionit", etj.
Niveli administrativ i mbrojtjes së informacionit pasqyrohet në programin e sigurisë së informacionit. Baza e programit është politika e sigurisë së informacionit - një dokument i lëshuar (grup dokumentesh), i cili miratohet nga menaxhmenti i organizatës dhe ka për qëllim mbrojtjen e burimeve të informacionit të kësaj organizate. Kjo organizatë nuk ka zhvilluar një politikë të sigurisë së informacionit dhe ky nivel i mbrojtjes së informacionit nuk është i përfaqësuar.
Masat e nivelit procedural të përdorura për mbrojtjen e informacionit në Ashatli Management Company LLC përfshijnë faktin se kalimi në ndërtesë kryhet vetëm me marrëveshje paraprake, si dhe është instaluar një alarm në ndërtesë. Gjithashtu sështë lidhur një kontratë për mbrojtjen e ambienteve me siguri private.
Merrni parasysh mjetet e sigurisë së informacionit të përdorura në ndërmarrje. Janë katër prej tyre (hardware, softuer, miks, organizativ).
Përdorimi i një programi antivirus në të gjithë kompjuterët (ESET NOD32 Business Edition NOD 32 Antivirus)
Përdorimi i veglave të integruara të Windows për të autorizuar një përdorues kompjuteri.
Përdorimi i hyrjes / fjalëkalimeve speciale për autorizim në bazën e të dhënave 1C Menaxhimi i Tregtisë.
Mjetet e mbrojtjes harduerike - bravat, grilat në dritare, alarmet e hajdutëve, mbrojtëset e mbingarkesës, kamerat e mbikqyrjes video.
Mbrojtja e softuerit: përdoret nga sistemi operativ, si mbrojtja, fjalëkalimi, llogaritë.
Mjetet organizative të mbrojtjes: përgatitja e dhomave me kompjuter.
Në nivelin e harduerit dhe softuerit, zbatohen masat e mëposhtme për të mbrojtur informacionin:
2. Përmirësimi i sistemit të sigurisë së informacionit
2.1 Mangësitë në sistemin e sigurisë së informacionit
Disa nga kërcënimet ndaj sigurisë së informacionit, si aksesi i paautorizuar nga jashtë, funksionimi i gabuar i softuerit ose dështimet teknike, neutralizohen me mjaft sukses nga konfigurimi dhe administrimi kompetent i rrjetit, por nuk ka masa për të parandaluar kërcënimet e brendshme.
Në procesin e analizimit të sistemit ekzistues të sigurisë së informacionit në Ashatli MC LLC, u identifikuan mangësitë e mëposhtme:
Përdorimi jo i plotë i funksionalitetit të 1C. Të drejtat e aksesit në të dhënat në bazën e të dhënave nuk janë plotësisht të kufizuara, si dhe fjalëkalimet nuk plotësojnë kërkesat e kompleksitetit ose disa punonjës thjesht nuk i përdorin ato.
Nuk ka kufizime në formatet dhe madhësitë e të dhënave të transmetuara nëpërmjet internetit (*.mp3,*. avi,*. rar) për punonjës të caktuar.
Disa punonjës ruajnë informacione konfidenciale në dosje publike thjesht për shkak të pakujdesisë së tyre, dhe gjithashtu ruajnë hyrjen / fjalëkalimin nga sistemet e informacionit që kërkojnë autorizim në vende lehtësisht të arritshme në desktop.
Informacioni në letër praktikisht nuk është i mbrojtur, me përjashtim të më të rëndësishmeve. (Marrëveshjet e huasë, anuitetet, rezultatet e inspektimit, etj.)
2.2 Qëllimet dhe objektivat e formimit të sistemit të sigurisë së informacionit në ndërmarrje
Kështu, mund të konkludojmë se ekziston një nevojë e madhe për të përmirësuar sistemin ekzistues të sigurisë së informacionit. Është gjithashtu e nevojshme të mbrohet me kujdes baza e klientëve të fushatës, pasi ky është informacion shumë i rëndësishëm që nuk duhet t'u zbulohet të huajve.
Punonjësit e fushatës shpesh nuk e kuptojnë se shpejtësia e kompanisë dhe, për rrjedhojë, konkurrenca e saj, dhe për rrjedhojë edhe niveli i pagave të tyre, varet drejtpërdrejt nga organizimi i duhur i integritetit të bazave të të dhënave dhe dokumenteve, duke i mbajtur ato në një formë të rregullt.
Kërcënimi më i madh për funksionalitetin e kontabilitetit elektronik paraqesin viruse të ndryshme që futen në kompjuterë në rrjet nëpërmjet internetit, si dhe aftësia për të hyrë në drejtoritë elektronike dhe dokumentet e personave të paautorizuar.
Objektivat e sigurisë së informacionit:
– parandalimi i kërcënimeve ndaj sigurisë së ndërmarrjes për shkak të veprimeve të paautorizuara për të shkatërruar, modifikuar, shtrembëruar, kopjuar, bllokuar informacionin ose forma të tjera të ndërhyrjes së paligjshme në burimet e informacionit dhe sistemet e informacionit;
– ruajtja e sekreteve tregtare të përpunuara duke përdorur teknologjinë kompjuterike;
– mbrojtjen e të drejtave kushtetuese të qytetarëve për të ruajtur sekretin personal dhe konfidencialitetin e të dhënave personale të disponueshme në sistemet e informacionit.
Detyrat e formimit të një sistemi të sigurisë së informacionit në një organizatë janë: integriteti i informacionit, besueshmëria e informacionit dhe konfidencialiteti i tij. Me përfundimin e detyrave të caktuara, qëllimi do të realizohet.
2.3 Masat e propozuara për përmirësimin e sistemit të sigurisë së informacionit në nivelet legjislative, administrative, procedurale dhe softuerike
Për të eliminuar mangësitë e identifikuara në sistemin e sigurisë së informacionit të Ashatli MC LLC, propozohet të futen masat e mëposhtme:
Në nivel legjislativ, nuk janë planifikuar ndryshime për të futur masa të reja për të garantuar sigurinë e informacionit.
Është e nevojshme të futen masa të nivelit administrativ në politikën e sigurisë së firmës. Në nivel administrativ propozohet:
Krijoni një seri udhëzimesh për sigurinë e informacionit brenda kompanisë për kategori të caktuara punonjësish (ndryshoni dhe ruani fjalëkalimet në vende të paarritshme, ndaloni vizitat në burime të palëve të treta, etj.).
Siguroni një sërë masash motivuese për të motivuar punonjësit që të respektojnë politikën e sigurisë, si dhe ndëshkoni për shkelje të rëndë të politikës së sigurisë së kompanisë. (bonuse dhe penalitete)
Për të përmirësuar sistemin e sigurisë në nivel procedural, propozohen këto seri masash:
Kufizoni aksesin e personave të paautorizuar në disa departamente të kompanisë.
Kryeni një sërë aktivitetesh konsultimi me punonjësit e organizatës për çështjet e sigurisë së informacionit dhe udhëzimet për pajtueshmërinë me politikën e sigurisë.
Në nivelin e harduerit dhe softuerit, propozohet të futen masat e mëposhtme:
Kërkoni që të gjithë punonjësit të përdorin fjalëkalime për të hyrë në bazën e të dhënave 1C dhe të kufizojnë më me kujdes aksesin në të dhëna të caktuara të bazës së të dhënave (libra referencë, dokumente dhe raporte) për të gjithë punonjësit.
Është e nevojshme të ndryshohen të gjitha hyrjet dhe fjalëkalimet standarde për të hyrëADSL-Ruteri ka nevojë për fjalëkalime që të përputhen me nivelin e vështirësisë.
Vendosni kufizime në formatet dhe madhësitë e skedarëve të transmetuar në internet tek punonjësit individualë duke krijuar filtra nëESETNOD32 BiznesiBotim
Kështu, ne kemi vendosur për ndryshime në sistemin ekzistues të sigurisë së informacionit të Ashatli Management Company LLC. Ndër këto ndryshime, çelësi është puna me personelin, pasi pa marrë parasysh se cilat mjete softuerike perfekte për mbrojtjen e informacionit futen, megjithatë, e gjithë puna me ta kryhet nga personeli dhe shkaktohen, si rregull, dështimet kryesore në sistemin e sigurisë së organizatës. , nga personeli. Stafi i motivuar saktë, i fokusuar në performancë, është tashmë gjysma e asaj që është e nevojshme për funksionimin efektiv të çdo sistemi.
2.4 Efektiviteti i masave të propozuara
Avantazhi kryesor i sistemit të përditësuar të sigurisë në Ashatli Management Company LLC është ndryshimi në qëndrimin e personelit. Shumica e problemeve në sistemin ekzistues të sigurisë shkaktoheshin nga personeli.
Përfitimet e përdorimitESET NOD32 Business Edition:
synuar për ndërmarrjet nga 5 deri në 100,000 PC brenda një strukture
instaluar si në server ashtu edhe në stacionet e punës
mbrojtje proaktive kundër kërcënimeve të panjohura
aplikimi i teknologjive inteligjente që kombinojnë metodat heuristike dhe të zbulimit të nënshkrimit
motori heuristik i përditësuar ThreatSensetm
përditësime të rregullta automatike të bazave të të dhënave të nënshkrimit
Zgjidhje e shkallëzuar
Teknologjitë moderne
skanimi i plotë i të gjithë postës hyrëse përmes protokolleve POP3 dhe POP3s
skanoni emailet hyrëse dhe dalëse
raport i detajuar mbi malware të zbuluar
integrimi i plotë në klientët e njohur të postës elektronike: Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail, Mozilla Thunderbird dhe The Bat! Kufizimi i llojeve dhe vëllimeve të skedarëve të transmetuar dhe marrë nëpërmjet internetit nga punonjësit, së pari, do të kufizojë rrjedhjen e ndonjë e rëndësishme për organizimin e informacionit, dhe së dyti, do të zvogëlojë ngarkesën në rrjetin e Internetit, pasi kanalet e transmetimit të të dhënave nuk do të jenë të zënë me transferimin e informacionit të jashtëm.
Menaxhimi i centralizuar
Me ndihmën e tretësirës Administratori i largët i ESET ju mund të instaloni dhe çinstaloni në distancë produktet softuerike ESET , monitoroni funksionimin e softuerit antivirus, krijoni serverë brenda rrjetit për përditësimet e produkteve lokale ESET ("Pasqyra"), të cilat mund të reduktojnë ndjeshëm trafikun e jashtëm të internetit.
ESET NOD 32 Botim Biznesi gjeneron automatikisht një raport për objektet e zbuluara të infektuara të dërguara në karantinë, mbi dinamikën e kërcënimeve, ngjarjeve, skanimeve, detyrave, mund të gjeneroni raporte të ndryshme të kombinuara, etj. Është e mundur të dërgohen paralajmërime dhe mesazhe nëpërmjet protokollit SMTP ose nëpërmjet një menaxheri të mesazheve.
Filtrimi i emailit dhe përmbajtjes së internetit
Raporte të përshtatshme
Mbrojtja antivirus dhe rrjeti me cilësi të lartë do të ndihmojë në shmangien e ndërprerjeve në funksionimin e kompjuterëve, kjo është veçanërisht e rëndësishme për vendet e punës të menaxherëve dhe konsulentëve. Këto përmirësime do të ndikojnë në besueshmërinë e fushatës si partner biznesi për shumë klientë, gjë që do të ketë një efekt të dobishëm në imazhin e fushatës si dhe në të ardhurat e saj. Rezervimi automatik i informacionit do të sigurojë integritetin dhe sigurinë e tij, dhe arkivimi do të sigurojë mundësinë për ta rikthyer shpejt atë në situata të nevojshme.
3. Modeli i sigurisë së informacionit
Modeli i paraqitur i sigurisë së informacionit është një kombinim i faktorëve objektivë të jashtëm dhe të brendshëm dhe ndikimi i tyre në gjendjen e sigurisë së informacionit në objekt dhe në sigurinë e burimeve materiale ose informacioni. Si objekt konsiderohen mjetet materiale dhe teknike, të dhënat personale, dokumentet.
VËLLIM I MBROJTURKush
OBJEKTET E MBROJTUR- të dhënat personale të studentëve f
ault;Dosjet personale të studentëve;
Kartat personale të studentëve;
Dokumentet aktuale;
Vlerat materiale dhe teknike.
KËRCËNIMET SIGURIA
- vjedhje;
- akses i paautorizuar;
- shkelje e integritetit të informacionit rmacionet;
Dështime të harduerit dhe softuerit.
METODAT E MBROJTJES
- rregulloret;
- masat dhe metodat organizative, teknike dhe të sigurisë;
- mënyra e softuerit dhe harduerit obs;
Mbrojtja organizative.
BURIMET E KËRCËNIMIT
- burimet antropogjene (stafi, studentë, ndërhyrës);
Burimet teknologjike (software dhe hardware);
Burimet spontane të kërcënimeve (zjarret, përmbytjet, tërmetet, etj.).
konkluzioni
Gjatë projektit të kursit, u krye një analizë e mjeteve të sigurisë së informacionit të Ashatli Management Company LLC. U krye një analizë e burimeve të informacionit të ndërmarrjes, u bë një analizë e kërcënimeve të sigurisë së informacionit dhe u identifikuan mangësitë përkatëse.
Zbatimi i masave të propozuara për të eliminuar mangësitë do t'i lejojë ndërmarrjes të rrisë efektivitetin e mjeteve mbrojtëse dhe të zvogëlojë rrezikun e humbjes së informacionit. Duhet të theksohet se procesi i organizimit ose riorganizimit të sigurisë së informacionit është një proces kompleks në të cilin programet, personeli dhe teknologjia ndërveprojnë njëkohësisht.
Për të zgjidhur problemin e sigurimit të sigurisë së informacionit, është e nevojshme të zbatohen masa legjislative, organizative dhe softuerike-teknike, të cilat do të bëjnë të mundur eliminimin e plotë të tij.
Lista e literaturës së përdorur
Maklakov S.V. Krijimi i sistemeve të informacionit me AllFusion Modeling Suite. - M .: Dialog-MEPhI, 2003 .-- 432 f.
www. ashatli-agro.ru
Ligji Federal Nr. 231-F "Për informacionin, teknologjitë e informacionit dhe mbrojtjen e informacionit", datë 18.12.2006.
Ligji Federal i Federatës Ruse i 27 korrikut 2006 Nr. 149-FZ "Për informacionin, teknologjitë e informacionit dhe mbrojtjen e informacionit"
2. Sistemi antivirus ESET NOD 32 për t'u mbrojtur nga viruset kompjuterike.
Përditësimet e parregullta të bazës së të dhënave dhe skanimi i stacioneve të punës kryhen.
3. Backup i integruar i Windows për krijimin e arkivave.
OS Backup Wizard është një program i krijuar për të krijuar dhe rivendosur shpejt një kopje rezervë të Windows. Kjo ju lejon të krijoni një kopje të të gjithë Windows-it ose thjesht skedarë dhe dosje individuale.
4. Enkriptim me çelës 2048-bit për kanalin vpn (lidhja me zyrën e shoqërisë administruese për menaxhimin e postës dhe dokumenteve).
Kapitulli 2. Përmirësimi i NIB
2.1 Mangësitë në sistemin e sigurisë së informacionit
Gjatë analizimit të problemeve që lidhen me sigurinë e informacionit, është e nevojshme të merren parasysh specifikat e këtij aspekti të sigurisë, që konsiston në faktin se siguria e informacionit është pjesë përbërëse e teknologjisë së informacionit - një fushë që po zhvillohet me një ritëm të lartë të paparë. Nuk janë aq shumë vendimet individuale (ligjet, kurset e trajnimit, produktet softuerike dhe harduerike) ato që janë të përditësuara ato që janë të rëndësishme këtu, por mekanizmat për gjenerimin e zgjidhjeve të reja që bëjnë të mundur të jetojmë me ritmin e përparimit teknologjik.
Teknologjitë moderne të programimit nuk lejojnë krijimin e programeve pa gabime, gjë që nuk kontribuon në zhvillimin e shpejtë të mjeteve të sigurisë së informacionit.
Pas analizimit të sigurisë së informacionit të ndërmarrjes, mund të konkludojmë se i kushtohet vëmendje e pamjaftueshme sigurisë së informacionit:
Mungesa e fjalëkalimeve për të hyrë në sistem;
Mungesa e fjalëkalimeve kur përdorni programin me 1C: Ndërmarrja, kur ndryshoni të dhënat;
Nuk ka mbrojtje shtesë të skedarëve dhe informacionit (nuk ka asnjë kërkesë bazë për fjalëkalim kur hapni ose ndryshoni informacionin në skedarë, për të mos përmendur mjetet e kriptimit të të dhënave);
Përditësimi i parregullt i bazave të të dhënave të programit antivirus dhe skanimi i stacioneve të punës;
Një numër i madh dokumentesh letre ruhen kryesisht në dosje (nganjëherë pa to) në desktopin e punonjësit, gjë që i lejon sulmuesit të përdorin lehtësisht këtë lloj informacioni për qëllimet e tyre;
Nuk ka diskutime të rregullta për çështjet e sigurisë së informacionit në ndërmarrje dhe problemet e shfaqura në këtë fushë;
Një kontroll i rregullt i funksionimit të sistemeve të informacionit të ndërmarrjes nuk është i organizuar, korrigjimi kryhet vetëm kur ato dështojnë;
Mungesa e politikës së sigurisë së informacionit;
Mungesa e administratorit të sistemit.
Të gjitha sa më sipër janë disavantazhe shumë të rëndësishme për sigurimin e sigurisë së informacionit të një ndërmarrje.
2.2 Qëllimi dhe objektivat e sistemit të sigurisë së informacionit
Siguria e informacionit - gjendja e mbrojtjes së burimeve të informacionit në rrjetet kompjuterike dhe sistemet e ndërmarrjeve nga aksesi i paautorizuar, ndërhyrja aksidentale ose e qëllimshme në funksionimin normal të sistemeve, përpjekjet për të shkatërruar përbërësit e tij.
Objektivat e sigurisë së informacionit:
parandalimi i kërcënimeve ndaj sigurisë së ndërmarrjes për shkak të veprimeve të paautorizuara për të shkatërruar, modifikuar, shtrembëruar, kopjuar, bllokuar informacionin ose forma të tjera të ndërhyrjes së paligjshme në burimet e informacionit dhe sistemet e informacionit;
ruajtja e sekreteve tregtare të përpunuara duke përdorur teknologjinë kompjuterike;
mbrojtjen e të drejtave kushtetuese të qytetarëve për të ruajtur sekretin personal dhe konfidencialitetin e të dhënave personale të disponueshme në sistemet e informacionit.
Për të arritur objektivat e mbrojtjes, duhet të sigurohet një zgjidhje efektive për detyrat e mëposhtme:
· Mbrojtja nga ndërhyrjet në procesin e funksionimit të ndërmarrjes nga persona të paautorizuar;
· Mbrojtja nga veprimet e paautorizuara me burimet informative të ndërmarrjes nga persona të paautorizuar dhe punonjës që nuk kanë autoritetin përkatës;
· Sigurimi i plotësisë, besueshmërisë dhe efikasitetit të mbështetjes së informacionit për marrjen e vendimeve menaxheriale nga menaxhmenti i ndërmarrjes;
· Sigurimi i sigurisë fizike të harduerit dhe softuerit të ndërmarrjes dhe mbrojtja e tyre nga veprimi i burimeve njerëzore dhe natyrore të kërcënimeve;
· Regjistrimi i ngjarjeve që ndikojnë në sigurinë e informacionit, duke siguruar kontrollueshmëri dhe llogaridhënie të plotë të të gjitha operacioneve të kryera në ndërmarrje;
· Identifikimi, vlerësimi dhe parashikimi në kohë i burimeve të kërcënimeve ndaj sigurisë së informacionit, shkaqeve dhe kushteve që sjellin dëmtim të interesave të subjekteve, prishje të funksionimit dhe zhvillimit normal të ndërmarrjes;
· Analiza e rreziqeve të realizimit të kërcënimeve ndaj sigurisë së informacionit dhe vlerësimi i dëmit të mundshëm, parandalimi i pasojave të papranueshme të shkeljes së sigurisë së informacionit të ndërmarrjes, krijimi i kushteve për minimizimin dhe lokalizimin e dëmit të shkaktuar;
· Sigurimi i mundësisë së rivendosjes së gjendjes aktuale të ndërmarrjes në rast të shkeljes së sigurisë së informacionit dhe eliminimi i pasojave të këtyre shkeljeve;
· Krijimi dhe formimi i një politike të qëllimshme të sigurisë së informacionit të ndërmarrjes.
2.3 Masat dhe mjetet për përmirësimin e sistemit të sigurisë së informacionit
Për të arritur qëllimet dhe për të zgjidhur problemet, është e nevojshme të kryhen aktivitete në nivelet e sigurisë së informacionit.
Niveli administrativ i sigurisë së informacionit.
Për të formuar një sistem të sigurisë së informacionit, është e nevojshme të zhvillohet dhe miratohet një politikë e sigurisë së informacionit.
Një politikë sigurie është një grup ligjesh, rregullash dhe kodesh sjelljeje që synojnë mbrojtjen e informacionit dhe burimeve përkatëse.
Duhet të theksohet se politika që po zhvillohet duhet të jetë në përputhje me ligjet dhe rregulloret ekzistuese që i përkasin organizatës, d.m.th. këto ligje dhe rregullore duhet të identifikohen dhe të merren parasysh gjatë zhvillimit të politikave.
Sa më i besueshëm të jetë sistemi, aq më strikte dhe më e larmishme duhet të jetë politika e sigurisë.
Në varësi të politikës së formuluar, ju mund të zgjidhni mekanizma specifikë për të garantuar sigurinë e sistemit.
Niveli organizativ i mbrojtjes së informacionit.
Bazuar në mangësitë e përshkruara në seksionin e mëparshëm, ne mund të propozojmë masat e mëposhtme për të përmirësuar sigurinë e informacionit:
Organizimi i punës për të trajnuar personelin në aftësitë e punës me produkte të reja softuerike me pjesëmarrjen e specialistëve të kualifikuar;
Zhvillimi i masave të nevojshme që synojnë përmirësimin e sistemit të sigurisë ekonomike, sociale dhe të informacionit të ndërmarrjes.
Kryeni një konferencë në mënyrë që secili punonjës të kuptojë rëndësinë dhe konfidencialitetin e informacionit që i është besuar, sepse, si rregull, arsyeja e zbulimit të informacionit konfidencial është mungesa e njohurive nga punonjësit e rregullave për mbrojtjen e sekreteve tregtare dhe mungesa të kuptuarit (ose keqkuptimit) të nevojës për respektimin e kujdesshëm të tyre.
Kontroll i rreptë i respektimit të rregullave të punonjësve për të punuar me informacione konfidenciale;
Monitorimi i respektimit të rregullave për ruajtjen e dokumenteve të punës të punonjësve të ndërmarrjes;
Mbajtja e planifikuar e takimeve, seminareve, diskutimeve për sigurinë e informacionit të ndërmarrjes;
Kontrolli i rregullt (i planifikuar) dhe mirëmbajtja e të gjitha sistemeve të informacionit dhe infrastrukturës së informacionit për funksionueshmërinë.
Emëroni një administrator të sistemit në baza të përhershme.
Software dhe masa teknike për të mbrojtur informacionin.
Softueri dhe hardueri janë një nga komponentët më të rëndësishëm në zbatimin e sigurisë së informacionit të një ndërmarrje, prandaj, për të rritur nivelin e sigurisë së informacionit, është e nevojshme të futen dhe zbatohen masat e mëposhtme:
Futja e fjalëkalimeve të përdoruesit;
Për të rregulluar aksesin e përdoruesve në burimet e informacionit të ndërmarrjes, është e nevojshme të futni një listë të përdoruesve që do të hyjnë në sistem nën emrin e tyre të përdoruesit. Me Windows Server 2003 Std të instaluar në server, mund të krijoni një listë përdoruesish me fjalëkalime që përputhen. Shpërndani fjalëkalimet tek punonjësit me udhëzimet e duhura për përdorimin e tyre. Është gjithashtu e nevojshme të vendosni datën e skadimit të fjalëkalimit, pas së cilës përdoruesi do t'i kërkohet të ndryshojë fjalëkalimin. Kufizoni numrin e përpjekjeve për t'u identifikuar me një fjalëkalim të pavlefshëm (për shembull, në tre).
Futja e një kërkese fjalëkalimi në programin 1C: Enterprise kur punoni me një bazë të dhënash, kur ndryshoni të dhënat. Kjo mund të bëhet duke përdorur softuer dhe program kompjuterik.
Diferencimi i aksesit në skedarë, drejtori, disqe.
Diferencimi i aksesit te skedarët dhe drejtoritë do të kryhet nga administratori i sistemit, i cili do të lejojë aksesin në disqet, dosjet dhe skedarët përkatës për secilin përdorues në mënyrë specifike.
Skanimi i rregullt i stacioneve të punës dhe përditësimi i bazave të të dhënave të programit antivirus.
Ju lejon të zbuloni dhe neutralizoni programet me qëllim të keq, të eliminoni shkaqet e infeksioneve. Është e nevojshme të përfundoni instalimin, konfigurimin dhe mirëmbajtjen e mjeteve dhe sistemeve të mbrojtjes antivirus.
Për ta bërë këtë, duhet të konfiguroni programin antivirus që të skanojë rregullisht kompjuterin tuaj dhe të përditësojë rregullisht bazat e të dhënave nga serveri.
Instalimi i një muri zjarri Agnitum Outpost FireWall në një kompjuter server, i cili bllokon sulmet nga Interneti.
Përparësitë e përdorimit të murit të zjarrit Agnitum Outpost Firewall:
¾ monitoron lidhjet e kompjuterit tuaj me të tjerët, duke bllokuar hakerat dhe duke parandaluar hyrjen e paautorizuar të rrjetit të jashtëm dhe të brendshëm.
Dërgoni punën tuaj të mirë në bazën e njohurive është e thjeshtë. Përdorni formularin e mëposhtëm
Studentët, studentët e diplomuar, shkencëtarët e rinj që përdorin bazën e njohurive në studimet dhe punën e tyre do t'ju jenë shumë mirënjohës.
Postuar në http://www.allbest.ru/
PROJEKT KURSI
Në disiplinën "Siguria e Informacionit"
Në temën e
“Përmirësimi i sistemit të sigurisë së informacionit në
kompania "Furra"
Prezantimi
Duke folur për sigurinë e informacionit, aktualisht nënkuptojnë, në mënyrë rigoroze, sigurinë kompjuterike. Në të vërtetë, informacioni mbi mediat elektronike luan një rol në rritje në jetën e shoqërisë moderne. Cenueshmëria e një informacioni të tillë është për shkak të një sërë faktorësh: vëllime të mëdha, shumë pika dhe anonimiteti i mundshëm i aksesit, mundësia e "sabotimit të informacionit" ... E gjithë kjo e bën detyrën për të garantuar sigurinë e informacionit të postuar në një mjedis kompjuterik një problem shumë më i vështirë sesa, të themi, mbajtja e sekretit të korrespondencës tradicionale me postë.
Nëse flasim për sigurinë e informacionit të ruajtur në media tradicionale (letër, printime fotografike, etj.), atëherë siguria e tij arrihet duke respektuar masat e mbrojtjes fizike (d.m.th. mbrojtjen nga hyrja e paautorizuar në zonën e ruajtjes së medias). Aspekte të tjera të mbrojtjes së një informacioni të tillë lidhen me fatkeqësitë natyrore dhe fatkeqësitë e shkaktuara nga njeriu. Kështu, koncepti i sigurisë së informacionit "kompjuterik" në përgjithësi është më i gjerë në krahasim me sigurinë e informacionit në raport me mediat "tradicionale".
Nëse flasim për dallimet në qasjet për zgjidhjen e problemit të sigurisë së informacionit në nivele të ndryshme (shtetërore, rajonale, niveli i një organizate), atëherë dallime të tilla thjesht nuk ekzistojnë. Qasja për të garantuar sigurinë e Sistemit të Automatizuar Shtetëror "Vybory" nuk ndryshon nga qasja për sigurimin e një rrjeti lokal në një kompani të vogël. Prandaj, parimet e sigurimit të sigurisë së informacionit në këtë punë konsiderohen në shembujt e aktiviteteve të një organizate të veçantë.
Qëllimi i projektit të kursit është të përmirësojë sistemin e sigurisë së informacionit të Oven LLC. Objektivat e punës së kursit do të jenë - analiza e Oven LLC, burimet e saj, strukturën dhe sistemin ekzistues të sigurisë së informacionit në ndërmarrje dhe kërkimi i metodave për ta përmirësuar atë.
Në fazën e parë do të bëhet një analizë e sistemit të sigurisë së informacionit. Nga rezultatet e marra, në fazën e dytë do të bëhet kërkimi i metodave për përmirësimin e mbrojtjes së informacionit, nëse ka dobësi në këtë sistem.
1. Analiza e sistemit të sigurisë së informacionit në Oven LLC
1.1 Karakteristikat e ndërmarrjes. Struktura organizative dhe e personelit të ndërmarrjes. Shërbimi që merret me burimet e informacionit dhe mbrojtjen e tyre
Emri i plotë i korporatës i ndërmarrjes është Oven Limited Liability Company. Emri i shkurtuar i Kompanisë është Oven LLC. Në vijim referuar si Shoqëria. Shoqëria nuk ka degë dhe zyra përfaqësuese; qendra e saj e vetme është e vendosur në Territorin Perm, rrethi Suksunsky, fshati Martyanovo.
Kompania u themelua në vitin 1990 si një fermë e vogël dhe kishte tre themelues. Pas riorganizimit të fermës në një fermë fshatare në vitin 1998, mbeti themeluesi i vetëm. Hera e fundit që u riorganizua ishte në prill 2004. Nga 1 prilli, shoqëria u bë e njohur si shoqëria me përgjegjësi të kufizuar “Oven”.
Aktiviteti kryesor i kompanisë është kultivimi i produkteve bujqësore, materialit farë, shitja e produkteve bujqësore. Sot në Rusi shoqëria zë vendin e trembëdhjetë midis fermave të rritjes së patates dhe e para në Territorin e Permit.
Adresa ligjore: Rusia, 617553, Territori i Permit, Suksunsky, Martyanovo.
Qëllimet e ndërmarrjes në tërësi:
· Fitimi nga biznesi kryesor.
· Rritja e konkurrencës së produkteve dhe zgjerimi i tregjeve të shitjeve.
· Përqendrimi i kapitalit dhe rritja e burimeve investuese për realizimin e investimeve dhe projekteve të tjera.
Misioni i kompanisë së kompanisë:
1. Vazhdoni të zini një pozicion lider në treg.
2. Krijimi i një ferme farash.
Struktura organizative e ndërmarrjes.
Ndërmarrja përdor struktura lineare-funksionale. Në strukturën lineare-funksionale, formohet një hierarki shërbimesh. Në këtë strukturë, drejtuesit e njësive funksionale kanë të drejtë t'i japin urdhra nivelit tjetër drejtues për çështje funksionale.
Struktura e ndërmarrjes është paraqitur në figurën 1.
Postuar në http://www.allbest.ru/
Postuar në http://www.allbest.ru/
Figura 1 - Struktura organizative e Oven LLC
1.2 Analiza dhe karakteristikat e burimeve të informacionit të ndërmarrjes
Sot të gjithë janë të shqetësuar për sigurinë e informacionit të korporatës. Programet individuale dhe komplekset e tëra të krijuara për të mbrojtur të dhënat po fitojnë gjithnjë e më shumë popullaritet. Sidoqoftë, askush nuk mendon për faktin se ju mund të keni aq mbrojtje të besueshme sa të doni, por megjithatë të humbni informacione të rëndësishme. Sepse disa nga punonjësit tuaj do ta konsiderojnë atë të parëndësishme dhe do ta vënë atë në ekspozitë publike. Dhe nëse jeni të sigurt se jeni të mbrojtur nga kjo, atëherë gaboheni shumë. Në pamje të parë, kjo situatë duket si diçka joreale, si një anekdotë. Megjithatë, kjo ndodh, dhe ndodh shpesh. Në të vërtetë, personeli teknik, i cili në shumicën dërrmuese të rasteve merret me probleme të sigurisë së informacionit, jo gjithmonë e kupton se cilat të dhëna duhet të fshihen dhe cilat jo. Për të kuptuar, ju duhet të zbërtheni të gjithë informacionin në lloje të ndryshme, të cilat zakonisht quhen lloje, dhe të përcaktoni qartë kufijtë midis tyre.
Në fakt, të gjitha kompanitë e specializuara në furnizimin e sistemeve komplekse për të siguruar sigurinë e informacionit kompjuterik marrin parasysh ndarjen e të dhënave në lloje të ndryshme. Vetëm këtu duhet të keni kujdes. Fakti është se produktet perëndimore ndjekin standardet ndërkombëtare (në veçanti, ISO 17799 dhe disa të tjerë). Sipas tyre, të gjitha të dhënat ndahen në tre lloje: të hapura, konfidenciale dhe rreptësisht konfidenciale. Ndërkohë, në vendin tonë, sipas legjislacionit aktual, përdoret një dallim pak më ndryshe: informacion i hapur, për përdorim të brendshëm dhe konfidencial.
E hapur nënkupton çdo informacion që mund të transmetohet lirisht te personat e tjerë, si dhe të vendoset në media. Më shpesh paraqitet në formën e deklaratave për shtyp, fjalimeve në konferenca, prezantime dhe ekspozita, elemente të veçanta (natyrore, pozitive) të statistikave. Përveç kësaj, kjo pullë përfshin të gjitha të dhënat e marra nga burime të jashtme të hapura. Dhe, sigurisht, informacioni i destinuar për një faqe interneti të korporatës konsiderohet gjithashtu publik.
Në pamje të parë duket se informacioni i hapur nuk ka nevojë të mbrohet. Megjithatë, njerëzit harrojnë se të dhënat jo vetëm që mund të vidhen, por edhe të ndryshohen. Prandaj, ruajtja e integritetit të informacionit të hapur është një detyrë shumë e rëndësishme. Përndryshe, në vend të një njoftimi të përgatitur për shtyp, mund të përfundoni me diçka të pakuptueshme. Ose faqja kryesore e faqes së internetit të korporatës do të zëvendësohet me fjalë fyese. Pra, informacioni i hapur gjithashtu duhet të mbrohet.
Si çdo ndërmarrje tjetër, kompania ka informacion të hapur, i cili kryesisht përmbahet në prezantimet e paraqitura për investitorët e mundshëm.
Informacioni për përdorim të brendshëm përfshin çdo të dhënë që përdoret nga punonjësit për të kryer detyrat e tyre profesionale. Por kjo nuk është e gjitha. Kjo kategori përfshin të gjithë informacionin që shkëmbehet ndërmjet departamenteve apo degëve të ndryshme për të siguruar performancën e tyre. Dhe së fundi, lloji i fundit i të dhënave që bën pjesë në këtë kategori të dhënash është informacioni i marrë nga burime të hapura dhe i nënshtrohet përpunimit (strukturim, redaktim, sqarim).
Në fakt, i gjithë ky informacion, edhe nëse bie në duart e konkurrentëve apo sulmuesve, nuk mund të dëmtojë seriozisht kompaninë. Megjithatë, mund të ketë ende disa dëme nga rrëmbimi i saj. Le të themi se punonjësit kanë mbledhur lajme për shefin e tyre për një temë me interes për të, ndër të cilat kanë zgjedhur mesazhet më të rëndësishme dhe i kanë shënuar. Një përmbledhje e tillë është qartësisht informacion për përdorim të brendshëm (informacion i marrë nga burime të hapura dhe i përpunuar). Në pamje të parë, duket se konkurrentët, pasi e kanë marrë atë, nuk do të mund të përfitojnë prej tij. Por në fakt, ata mund të hamendësojnë se për cilin drejtim të aktivitetit interesohet menaxhmenti i kompanisë suaj, dhe, kush e di, ndoshta ata do të jenë në gjendje t'ju dalin përpara. Prandaj, informacioni për përdorim të brendshëm duhet të mbrohet jo vetëm nga mashtrimi, por edhe nga aksesi i paautorizuar. Vërtetë, në shumicën dërrmuese të rasteve, ju mund të kufizoni veten në sigurinë e rrjetit lokal, sepse është ekonomikisht e padobishme të shpenzoni shuma të mëdha për të.
Ndërmarrja paraqet edhe këtë lloj informacioni, i cili gjendet në raporte të ndryshme, lista, ekstrakte etj.
Informacioni konfidencial është informacion i dokumentuar, aksesi në të cilin është i kufizuar në përputhje me legjislacionin e Federatës Ruse, i cili nuk është i disponueshëm publikisht dhe, nëse zbulohet, mund të dëmtojë të drejtat dhe interesat e mbrojtura ligjërisht të personit që e ka dhënë atë. Lista e të dhënave në lidhje me këtë pullë përcaktohet nga shteti. Për momentin është si më poshtë: informacion personal, informacion që përbën sekret tregtar, zyrtar apo profesional, informacion që është sekret i hetimit dhe i punës zyre. Përveç kësaj, kohët e fundit, të dhënat mbi thelbin e një shpikjeje ose zbulimi shkencor përpara publikimit të tyre zyrtar janë klasifikuar si konfidenciale.
Informacioni konfidencial në ndërmarrje përfshin të dhëna të tilla si: plani i zhvillimit, puna kërkimore, dokumentacioni teknik, vizatimet, shpërndarja e fitimit, kontratat, raportet, burimet, partnerët, negociatat, kontratat, si dhe informacione të natyrës menaxheriale dhe planifikuese.
Ndërmarrja ka rreth njëzet PC. Sa i përket pranisë së një rrjeti lokal në ndërmarrje, atëherë PC-të në shoqëri nuk janë të bashkuar në një rrjet të vetëm. Për më tepër, të gjithë kompjuterët janë të pajisur me një grup standard të programeve të zyrës dhe kontabilitetit. Tre kompjutera kanë akses në internet nëpërmjet Miniportit WAN. Në të njëjtën kohë, asnjë kompjuter i vetëm në ndërmarrje nuk është i pajisur me një program antivirus. Shkëmbimi i informacionit kryhet me anë të mediave: flash drives, floppy disqe. Të gjitha informacionet për mediat "tradicionale" gjenden në kabinete që nuk janë të kyçur. Dokumentet më të rëndësishme ruhen në një kasafortë, çelësat e së cilës i mban sekretari.
siguria e mbrojtjes së informacionit
1.3 Kërcënimet dhe mjetet e mbrojtjes së informacionit në ndërmarrje
Kërcënimi i sigurisë së informacionit - një grup kushtesh dhe faktorësh që krijojnë një rrezik potencial ose real të lidhur me rrjedhjen e informacionit dhe / ose ndikime të paautorizuara dhe / ose të paqëllimshme mbi të
Sipas metodave të ndikimit në objektet e sigurisë së informacionit, kërcënimet që janë të rëndësishme për shoqërinë i nënshtrohen klasifikimit të mëposhtëm: informacion, softuer, fizik, organizativ dhe ligjor.
Kërcënimet e informacionit përfshijnë:
· Qasje e paautorizuar në burimet e informacionit;
· Vjedhja e informacionit nga arkivat dhe bazat e të dhënave;
· Shkelje e teknologjisë së përpunimit të informacionit;
· Mbledhja dhe përdorimi i paligjshëm i informacionit;
Kërcënimet e softuerit përfshijnë:
· Viruset kompjuterike dhe malware;
Kërcënimet fizike përfshijnë:
· Shkatërrimi ose shkatërrimi i objekteve të përpunimit dhe komunikimit të informacionit;
· Vjedhja e bartësve të informacionit;
· Ndikimi në personel;
Kërcënimet organizative dhe ligjore përfshijnë:
· Prokurimi i teknologjive të papërsosura ose të vjetruara të informacionit dhe mjeteve të informatizimit;
Mjetet e sigurisë së informacionit janë një grup i pajisjeve dhe pajisjeve, pajisjeve dhe sistemeve teknike inxhinierike, elektrike, elektronike, optike dhe të tjera, si dhe elementë të tjerë të pronarit që përdoren për të zgjidhur probleme të ndryshme të mbrojtjes së informacionit, duke përfshirë parandalimin e rrjedhjeve dhe sigurimin e informacionit të mbrojtur të sigurisë.
Merrni parasysh mjetet e sigurisë së informacionit të përdorura në ndërmarrje. Janë katër prej tyre (hardware, softuer, miks, organizativ).
Mbrojtja e harduerit- brava, hekura në dritare, alarme sigurie, mbrojtëse mbi rrymë, kamera video survejimi.
Mbrojtja e softuerit: përdoret nga sistemi operativ, si mbrojtja, fjalëkalimi, llogaritë.
Mjetet organizative të mbrojtjes: përgatitja e dhomave me kompjuter.
2 Përmirësimi i sistemit të sigurisë së informacionit
2.1 Mangësitë e evidentuara në sistemin e sigurisë së informacionit
Vendi më i cenueshëm në mbrojtjen e informacionit në shoqëri është mbrojtja e sigurisë kompjuterike. Në rrjedhën e një analize edhe sipërfaqësore në ndërmarrje, mund të dallohen disavantazhet e mëposhtme:
§ Informacioni rrallëherë mbështetet;
§ Niveli i pamjaftueshëm i softuerit të sigurisë së informacionit;
§ Disa punonjës kanë aftësi të pamjaftueshme kompjuterike;
§ Nuk ka kontroll mbi punonjësit. Shpesh, punonjësit mund të lënë punën e tyre pa fikur kompjuterin e tyre dhe pa pasur një flash drive me informacionin e shërbimit.
§ Mungesa e dokumenteve rregullatore për sigurinë e informacionit.
§ Jo të gjithë kompjuterët përdorin mjete OS si fjalëkalimet dhe llogaritë.
2.2 Qëllimet dhe objektivat e formimit të një sistemi të sigurisë së informacionit në ndërmarrje
Qëllimi kryesor i sistemit të sigurisë së informacionit është të sigurojë funksionimin e qëndrueshëm të objektit, të parandalojë kërcënimet për sigurinë e tij, të mbrojë interesat legjitime të ndërmarrjes nga shkeljet e paligjshme, të parandalojë vjedhjen e fondeve, zbulimin, humbjen, rrjedhjen, shtrembërimin dhe shkatërrimin e informacion zyrtar dhe të sigurojë aktivitete normale të prodhimit të të gjitha divizioneve të objektit. Një tjetër synim i sistemit të sigurisë së informacionit është përmirësimi i cilësisë së shërbimeve të ofruara dhe garantimi i sigurisë së të drejtave dhe interesave pronësore.
Detyrat e formimit të një sistemi të sigurisë së informacionit në një organizatë janë: integriteti i informacionit, besueshmëria e informacionit dhe konfidencialiteti i tij. Me përfundimin e detyrave të caktuara, qëllimi do të realizohet.
Krijimi i sistemeve të sigurisë së informacionit (ISS) në IS dhe IT bazohet në parimet e mëposhtme:
Një qasje sistematike për ndërtimin e një sistemi sigurie, që nënkupton kombinimin optimal të vetive të ndërlidhura organizative, softuerike, harduerike, fizike dhe të tjera, të konfirmuar nga praktika e krijimit të sistemeve të sigurisë vendase dhe të huaja dhe të përdorura në të gjitha fazat e ciklit teknologjik të përpunimit të informacionit. .
Parimi i zhvillimit të vazhdueshëm të sistemit. Ky parim, i cili është një nga themelet për sistemet e informacionit kompjuterik, është edhe më i rëndësishëm për NIB. Metodat për zbatimin e kërcënimeve ndaj informacionit në TI po përmirësohen vazhdimisht, dhe për këtë arsye sigurimi i sigurisë së IS nuk mund të jetë një akt i njëhershëm. Ky është një proces i vazhdueshëm, i cili konsiston në justifikimin dhe zbatimin e metodave, metodave dhe mënyrave më racionale të përmirësimit të ISS, monitorimit të vazhdueshëm, identifikimit të pengesave dhe dobësive të tij, kanaleve të mundshme të rrjedhjes së informacionit dhe metodave të reja të aksesit të paautorizuar.
Ndarja dhe minimizimi i kompetencave për akses në informacionin e përpunuar dhe procedurat e përpunimit, d.m.th., sigurimi i përdoruesve dhe vetë punonjësve të IP me një minimum kompetencash të përcaktuara rreptësisht të mjaftueshme që ata të kryejnë detyrat e tyre zyrtare.
Plotësia e kontrollit dhe regjistrimit të tentativave për akses të paautorizuar, pra nevoja për të përcaktuar me saktësi identitetin e çdo përdoruesi dhe regjistrimin e veprimeve të tij për një hetim të mundshëm, si dhe pamundësinë e kryerjes së ndonjë operacioni të përpunimit të informacionit në IT pa regjistrimin e tij paraprak.
Sigurimi i besueshmërisë së sistemit të mbrojtjes, pra pamundësia e uljes së nivelit të besueshmërisë në rast të dështimeve, dështimeve, veprimeve të qëllimshme të një hajduti ose gabimeve të paqëllimshme të përdoruesve dhe personelit të shërbimit në sistem.
Sigurimi i kontrollit mbi funksionimin e sistemit të mbrojtjes, d.m.th. krijimi i mjeteve dhe metodave për monitorimin e performancës së mekanizmave mbrojtës.
Sigurimi i të gjitha llojeve të mjeteve kundër malware.
Sigurimi i fizibilitetit ekonomik të përdorimit të sistemit të mbrojtjes, i cili shprehet në tejkalimin e dëmit të mundshëm të IP dhe IT nga zbatimi i kërcënimeve mbi koston e zhvillimit dhe funksionimit të NIB.
2.3 Veprimet e propozuara për të përmirësuar sistemin e sigurisë së informacionit të organizatës
Mangësitë e identifikuara në ndërmarrje kërkojnë eliminimin e tyre, prandaj propozohen masat e mëposhtme.
§ Rezervimi i rregullt i bazës së të dhënave me të dhënat personale të punonjësve të kompanisë, të dhënat e kontabilitetit dhe bazat e tjera të të dhënave të disponueshme në ndërmarrje. Kjo do të parandalojë humbjen e të dhënave për shkak të dështimeve të diskut, ndërprerjeve të energjisë, viruseve dhe aksidenteve të tjera. Planifikimi i kujdesshëm dhe procedurat e rregullta rezervë ju lejojnë të rivendosni shpejt të dhënat në rast të humbjes së të dhënave.
§ Përdorimi i veglave të OS në çdo kompjuter. Krijimi i llogarive për profesionistët dhe ndryshime të rregullta të fjalëkalimeve për këto llogari.
§ Trajnimi i personelit të ndërmarrjes për të punuar me kompjuterë. Një parakusht për funksionimin korrekt në stacionet e punës dhe parandalimin e humbjes dhe dëmtimit të informacionit. Puna e të gjithë ndërmarrjes varet nga aftësitë e përdorimit të një PC nga personeli, në drejtim të ekzekutimit të saktë.
§ Instalimi i programeve antivirus në kompjuterë si: Avast, NOD, Doctor Web etj. Kjo do të parandalojë që kompjuterët tuaj të infektojnë kompjuterët tuaj me lloje të ndryshme malware të quajtur viruse. Kjo është shumë e rëndësishme për këtë ndërmarrje, pasi disa PC kanë akses në internet dhe punonjësit përdorin flash media për të shkëmbyer informacion.
§ Kryerja e kontrollit mbi punonjësit duke përdorur videokamera. Kjo do të zvogëlojë incidencën e trajtimit të pakujdesshëm të pajisjeve, rrezikun e vjedhjes dhe dëmtimit të pajisjeve, si dhe do t'ju lejojë të kontrolloni "heqjen" e informacionit zyrtar nga territori i shoqërisë.
§ Zhvillimi i një dokumenti normativ "Masat e mbrojtjes së informacionit në Oven LLC dhe përgjegjësia për shkeljet e tyre", i cili do të përputhet me legjislacionin aktual të Federatës Ruse dhe do të përcaktojë rreziqet, shkeljet dhe përgjegjësinë për këto shkelje (gjoba, dënime). Si dhe futjen e rubrikës përkatëse në kontratën e punës të shoqërisë me të cilën ai njihet dhe merr përsipër të respektojë përcaktimet e këtij dokumenti.
2.4 Efektiviteti i masave të propozuara
Masat e propozuara mbartin jo vetëm aspekte pozitive, siç është eliminimi i problemeve kryesore në sipërmarrje që lidhen me sigurinë e informacionit. Por në të njëjtën kohë, ata do të kërkojnë investime shtesë në trajnimin e personelit, zhvillimin e dokumenteve rregullatore që lidhen me politikën e sigurisë. Do të kërkojë kosto shtesë të punës dhe nuk do të përjashtojë plotësisht rreziqet. Gjithmonë do të ketë një faktor njerëzor, forcë madhore. Por nëse nuk merren masa të tilla kostot e rikuperimit të informacionit, mundësitë e humbura do të kushtojnë më shumë se kostot e nevojshme për zhvillimin e një sistemi sigurie.
Konsideroni rezultatet e masave të propozuara:
1. Përmirësimi i besueshmërisë së sistemit IS të organizatës;
2. Rritja e nivelit të aftësive kompjuterike të personelit;
3. Rreziku i reduktuar i humbjes së informacionit;
4. Disponueshmëria e një dokumenti rregullator që përcakton një politikë sigurie.
5. Mundësisht të zvogëloni rrezikun e futjes / nxjerrjes së informacionit nga ndërmarrja.
3 Modeli i sigurisë së informacionit
Modeli i paraqitur i sigurisë së informacionit (Figura 2) është një kombinim i faktorëve objektivë të jashtëm dhe të brendshëm dhe ndikimi i tyre në gjendjen e sigurisë së informacionit në objekt dhe në sigurinë e burimeve materiale ose informacioni.
Figura 2 - Modeli i sistemit të sigurisë së informacionit
Ky model përputhet me dokumente të veçanta rregullatore për sigurinë e informacionit të miratuar në Federatën Ruse, standardin ndërkombëtar ISO / IEC 15408 "Teknologjia e informacionit - metodat e sigurisë - kriteret për vlerësimin e sigurisë së informacionit", standardi ISO / IEC 17799 "Menaxhimi i sigurisë së informacionit" dhe merr parasysh tendencat e zhvillimit kuadri rregullator i brendshëm (në veçanti, Komisioni Teknik Shtetëror i Federatës Ruse) për sigurinë e informacionit.
Konkluzione dhe oferta
Epoka e informacionit ka sjellë ndryshime dramatike në mënyrën se si një numër i madh profesionesh kryejnë detyrat e tyre. Tani specialisti jo-teknik i nivelit të mesëm mund të bëjë punën që bënte programuesi shumë i aftë. Punonjësi ka në dispozicion informacione të sakta dhe në kohë sa nuk ka pasur kurrë.
Por përdorimi i kompjuterëve dhe teknologjisë së automatizuar paraqet një sërë sfidash për drejtimin e një organizate. Kompjuterët, shpesh të lidhur në rrjete, mund të ofrojnë akses në një sasi të madhe të një shumëllojshmërie të gjerë të dhënash. Prandaj, njerëzit shqetësohen për sigurinë e informacionit dhe rreziqet që lidhen me automatizimin dhe sigurimin e shumë më tepër akses në të dhëna konfidenciale, personale ose të tjera kritike. Numri i krimeve kompjuterike po rritet, gjë që mund të çojë, në fund të fundit, në minimin e ekonomisë. Dhe kështu duhet të jetë e qartë se informacioni është një burim që duhet mbrojtur.
Dhe meqenëse automatizimi ka çuar në faktin se tani operacionet me pajisjet kompjuterike kryhen nga punonjës të zakonshëm të organizatës, dhe jo personel teknik i trajnuar posaçërisht, është e nevojshme që përdoruesit përfundimtarë të jenë të vetëdijshëm për përgjegjësinë e tyre për të mbrojtur informacionin.
Nuk ka asnjë recetë të vetme që siguron një garanci 100% të sigurisë së të dhënave dhe funksionimit të besueshëm të rrjetit. Sidoqoftë, krijimi i një koncepti sigurie gjithëpërfshirëse, të mirëmenduar, që merr parasysh specifikat e detyrave të një organizate të caktuar, do të ndihmojë në uljen e rrezikut të humbjes së informacionit të vlefshëm në minimum. Mbrojtja e kompjuterit është një luftë e vazhdueshme kundër marrëzisë së përdoruesve dhe inteligjencës së hakerëve.
Si përfundim, dua të them se mbrojtja e informacionit nuk kufizohet vetëm në metoda teknike. Problemi është shumë më i gjerë. Disavantazhi kryesor i mbrojtjes janë njerëzit, dhe për këtë arsye besueshmëria e një sistemi sigurie varet kryesisht nga qëndrimi i punonjësve të kompanisë ndaj tij. Përveç kësaj, mbrojtja duhet të përmirësohet vazhdimisht së bashku me zhvillimin e rrjetit kompjuterik. Mos harroni se nuk është sistemi i sigurisë që ndërhyn në punë, por mungesa e tij.
Do të doja gjithashtu, duke përmbledhur rezultatet e këtij projekti të kursit, të theksoja se pas analizimit të sistemit të sigurisë së informacionit të ndërmarrjes Oven, u identifikuan pesë mangësi. Pas kërkimit, u gjetën zgjidhje për eliminimin e tyre, këto mangësi mund të korrigjohen, gjë që do të përmirësojë IS-në e ndërmarrjes në tërësi.
Në vazhdën e veprimeve të mësipërme u përpunuan aftësitë praktike dhe teorike të studimit të sistemit të sigurisë së informacionit, prandaj u arrit qëllimi i projektit të kursit. Falë zgjidhjeve të gjetura, mund të themi se të gjitha detyrat e projektit janë kryer.
Bibliografi
1.GOST 7.1-2003. Të dhënat bibliografike. Përshkrimi bibliografik. Kërkesat dhe rregullat e përgjithshme për hartimin (M.: Shtëpia botuese e standardeve, 2004).
2. Galatenko, V.A. “Bazat e sigurisë së informacionit”. - M .: "Intuit", 2003.
3. Zavgorodniy, V. I. "Mbrojtja gjithëpërfshirëse e informacionit në sistemet kompjuterike". - M .: "Logos", 2001.
4. Zegzhda, D.P., Ivashko, A.M. “Bazat e Sigurisë së Sistemeve të Informacionit”.
5. Nosov, V.A. Kurs hyrës në disiplinën “Siguria e Informacionit”.
6. Ligji Federal i Federatës Ruse i 27 korrikut 2006 N 149-FZ "Për informacionin, teknologjitë e informacionit dhe mbrojtjen e informacionit".
Postuar në Allbest.ru
Dokumente të ngjashme
Karakteristikat e burimeve të informacionit të njësisë bujqësore Ashatli. Kërcënimet për sigurinë e informacionit specifik për ndërmarrjet. Masat, metodat dhe mjetet e mbrojtjes së informacionit. Analiza e mangësive të ekzistueses dhe përfitimeve të sistemit të përditësuar të sigurisë.
Punimi termik u shtua 02/03/2011
Informacione të përgjithshme për aktivitetet e ndërmarrjes. Objektet e sigurisë së informacionit në ndërmarrje. Masat dhe mjetet për mbrojtjen e informacionit. Kopjimi i të dhënave në media të lëvizshme. Instalimi i një serveri të brendshëm rezervë. Efektiviteti i përmirësimit të sistemit të sigurisë së informacionit.
test, shtuar 29.08.2013
Koncepti, kuptimi dhe drejtimet e sigurisë së informacionit. Një qasje sistematike për organizimin e sigurisë së informacionit, mbrojtjen e informacionit nga aksesi i paautorizuar. Mjetet e sigurisë së informacionit. Metodat dhe sistemet e sigurisë së informacionit.
abstrakt, shtuar më 15.11.2011
Sistemi i formimit të regjimit të sigurisë së informacionit. Detyrat e sigurisë së informacionit të shoqërisë. Siguria e informacionit nënkupton: metodat dhe sistemet bazë. Mbrojtja e informacionit në rrjetet kompjuterike. Dispozitat e akteve më të rëndësishme legjislative të Rusisë.
abstrakt, shtuar 20.01.2014
Analiza e rrezikut të sigurisë së informacionit. Vlerësimi i mjeteve juridike ekzistuese dhe të planifikuara. Një grup masash organizative për të siguruar sigurinë e informacionit dhe mbrojtjen e informacionit të ndërmarrjes. Rasti testues i zbatimit të projektit dhe përshkrimi i tij.
tezë, shtuar 19.12.2012
Një strategji e sigurisë së informacionit të ndërmarrjes në formën e një sistemi politikash efektive që do të përcaktonin një grup efektiv dhe të mjaftueshëm të kërkesave të sigurisë. Identifikimi i kërcënimeve për sigurinë e informacionit. Kontrolli i brendshëm dhe menaxhimi i riskut.
punim afatshkurtër, shtuar 14.06.2015
Përshkrimi i kompleksit të detyrave dhe justifikimi i nevojës për të përmirësuar sigurinë e informacionit dhe sistemin e mbrojtjes së informacionit në ndërmarrje. Zhvillimi i një projekti për përdorimin e një DBMS, sigurinë e informacionit dhe mbrojtjen e të dhënave personale.
tezë, shtuar 17.11.2012
Dokumentet rregullatore në fushën e sigurisë së informacionit në Rusi. Analiza e kërcënimeve ndaj sistemeve të informacionit. Karakteristikat e organizimit të sistemit të mbrojtjes së të dhënave personale të klinikës. Zbatimi i një sistemi vërtetimi duke përdorur çelësa elektronikë.
tezë, shtuar 31.10.2016
Parakushtet për krijimin e një sistemi sigurie të të dhënave personale. Kërcënimet e sigurisë së informacionit. Burimet e aksesit të paautorizuar në ISPD. Pajisja e sistemeve të informacionit të të dhënave personale. Mjetet e sigurisë së informacionit. Politika e sigurisë.
punim afatshkurtër shtuar më 10.07.2016
Detyrat, struktura, masat fizike, softuerike dhe harduerike për mbrojtjen e sistemit të informacionit. Llojet dhe shkaqet e krimeve kompjuterike, mënyrat për të përmirësuar politikën e sigurisë së organizatës. Qëllimi dhe funksionet kryesore të dosjes "Ditari" në MS Outlook 97.
