Анализ деятельности ТОО «Promo Park» в области защиты информации
Анализ освещённости Условия деятельности операторов в системе «человек — машина» связаны с явным преобладанием зрительной информации — до 90% общего объёма. Вредными факторами здесь являются недостаток освещения рабочих поверхностей (стола, клавиатуры), избыточная яркость источников света, резкие перепады света и тени, утомляющие глаз постоянной адаптацией, мерцание и цветовая неравномерность… Читать ещё >
Анализ деятельности ТОО «Promo Park» в области защиты информации (реферат, курсовая, диплом, контрольная)
Содержание Введение Раздел 1. Проблема обеспечения защиты информации
1.1 Классификация угроз информационной безопасности
1.2 Ущерб как категория классификации угроз
1.3 Классификация источников угроз
1.4 Классификация уязвимостей безопасности
1.5 Классификация мер противодействия угрозам информационной безопасности
1.6 Системное администрирование Раздел 2. Анализ системы защиты информации на предприятии
2.1 Методика анализа защищенности
2.2 Общая характеристика предприятия и мер безопасности
2.3 Обеспечение Интернет-безопасности на предприятии
2.4 Совершенствование комплексной системы защиты информации на предприятии Раздел 3. Охрана труда и техника безопасности
3.1 Анализ и идентификация опасных и вредных факторов
3.1.1 Требования безопасности труда к помещениям
3.1.2 Требования к микроклимату
3.1.3 Анализ освещённости
3.1.4 Анализ электробезопасности
3.1.5 Анализ шума
3.1.6 Ионизация воздуха
3.1.7 Анализ электромагнитного излучения
3.2 Мероприятия по обеспечению безопасности и экологичности условий труда Заключение Список литературы
Мы живем на стыке двух тысячелетий, когда человечество вступило в эпоху новой научно-технической революции.
К концу двадцатого века люди овладели многими тайнами превращения вещества и энергии и сумели использовать эти знания для улучшения своей жизни. Но кроме вещества и энергии в жизни человека огромную роль играет еще одна составляющая — информация. Это самые разнообразные сведения, сообщения, известия, знания, умения.
В середине прошлого столетия появились специальные устройства — компьютеры, ориентированные на хранение и преобразование информации и произошла компьютерная революция.
Информацией владеют и используют её все люди без исключения. Каждый человек решает для себя, какую информацию ему необходимо получить, какая информация не должна быть доступна другим и т. д. Человеку легко, хранить информацию, которая у него в голове, а как быть, если информация занесена в «мозг машины», к которой имеют доступ многие люди.
Многие знают, что существуют различные способы защиты информации. А от чего, и от кого её надо защищать? И как это правильно сделать?
То, что эти вопросы возникают, говорит о том, что тема в настоящее время актуальна.
Актуальность проблемы защиты информационных технологий в современных условиях определяется следующими основными факторами [1]:
1) обострением противоречий между объективно существующими потребностями общества в расширении свободного обмена информацией и чрезмерными или наоборот недостаточными ограничениями на ее распространение и использование
2) расширением сферы использования ЭВМ, многообразием и повсеместным распространением информационно-управляющих систем, высокими темпами увеличения парка средств вычислительной техники и связи
3) повышением уровня доверия к автоматизированным системам управления и обработки информации, использованием их в критических областях деятельности
4) вовлечением в процесс информационного взаимодействия все большего числа людей и организаций, резким возрастанием их информационных потребностей, наличием интенсивного обмена информацией между участниками этого процесса
5) концентрацией больших объемов информации различного назначения и принадлежности на электронных носителях
6) количественным и качественным совершенствованием способов доступа пользователей к информационным ресурсам
7) отношением к информации, как к товару, переходом к рыночным отношениям в области предоставления информационных услуг с присущей им конкуренцией и промышленным шпионажем
8) многообразием видов угроз и возникновением новых возможных каналов несанкционированного доступа к информации
9) ростом числа квалифицированных пользователей вычислительной техники и возможностей по созданию ими нежелательных программно-математических воздействий на системы обработки информации
10) увеличением потерь (ущерба) от уничтожения, фальсификации, разглашения или незаконного тиражирования информации (возрастанием уязвимости различных затрагиваемых субъектов)
11) развитием рыночных отношений (в области разработки, поставки, обслуживания вычислительной техники, разработки программных средств, в том числе средств защиты).
Острота проблемы обеспечения безопасности субъектов информационных отношений, защиты их законных интересов при использовании информационных и управляющих систем, хранящейся и обрабатываемой в них информации все более возрастает.
Актуальность рассмотренной проблемы определила тему дипломной работы «Анализ деятельности ТОО „Promo Park“ в области защиты информации».
Цель работы — разработать рекомендации по улучшению системы безопасности указанного предприятия.
Из цели работы следуют задачи:
1) Изучить литературу по обеспечению безопасности пользователей на предприятии, методах защиты информации, способах организации информационных потоков.
2) Составить схему информационных потоков на предприятии в соответствии с его структурой.
3) Определить сетевую архитектуру, конфигурацию сетевого оборудования.
4) Рассмотреть вопросы обеспечения безопасности информации на предприятии.
5) Составить рекомендации к улучшению системы безопасности на данном предприятии.
Работа состоит из введения, 3 разделов, заключения, списка литературы.
Раздел 1. Проблема обеспечения защиты информации
1.1 Классификация угроз информационной безопасности
При смене способа хранения информации с бумажного вида на цифровой, появился главный вопрос — как эту информацию защитить, ведь очень большое количество факторов влияет на сохранность конфиденциальных данных. Для того чтобы организовать безопасное хранение данных, необходимо провести анализ угроз для правильного проектирования схем информационной безопасности.
Терминология и подходы к классификации
Организация обеспечения безопасности информации должна носить комплексный характер и основываться на глубоком анализе возможных негативных последствий. При этом важно не упустить какие-либо существенные аспекты. Анализ негативных последствий предполагает обязательную идентификацию возможных источников угроз, факторов, способствующих их проявлению и, как следствие, определение актуальных угроз безопасности информации.
В ходе такого анализа необходимо убедиться, что все возможные источники угроз идентифицированы и сопоставлены с источниками угроз все возможные факторы (уязвимости), присущие объекту защиты, всем идентифицированным источникам и факторам сопоставлены угрозы безопасности информации.
Исходя их данного принципа, моделирование и классификацию источников угроз и их проявлений, целесообразно проводить на основе анализа взаимодействия логической цепочки:
Источник угрозы — фактор (уязвимость) — угроза (действие) — последствия (атака).
Под этими терминами понимается [2]:
Источник угрозы — это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности.
Угроза (действие) [Threat]- это возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации.
Фактор (уязвимость) [Vulnerability]- это присущие объекту информатизации причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта информатизации, свойствами архитектуры автоматизированной системы, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации.
Последствия (атака) — это возможные последствия реализации угрозы (возможные действия) при взаимодействии источника угрозы через имеющиеся факторы (уязвимости).
Как видно из определения, атака — это всегда пара «источник — фактор», реализующая угрозу и приводящая к ущербу. При этом, анализ последствий предполагает проведение анализа возможного ущерба и выбора методов парирования угроз безопасности информации.
Угроз безопасности информации не так уж и много. Угроза, как следует из определения, это опасность причинения ущерба, то есть в этом определении проявляется жесткая связь технических проблем с юридической категорией, каковой является «ущерб».
1.2 Ущерб как категория классификации угроз
Проявления возможного ущерба могут быть различны [3]:
1) моральный и материальный ущерб деловой репутации организации;
2) моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;
3) материальный (финансовый) ущерб от разглашения защищаемой (конфиденциальной) информации;
4) материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;
5) материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;
6) моральный и материальный ущерб от дезорганизации деятельности организации;
7) материальный и моральный ущерб от нарушения международных отношений.
Ущерб может быть причинен каким-либо субъектом и в этом случае имеется на лицо правонарушение, а также явиться следствием независящим от субъекта проявлений (например, стихийных случаев или иных воздействий, таких как проявления техногенных свойств цивилизации). В первом случае налицо вина субъекта, которая определяет причиненный вред как состав преступления, совершенное по злому умыслу (умышленно, то есть деяние, совершенное с прямым или косвенным умыслом) или по неосторожности (деяние, совершенное по легкомыслию, небрежности, в результате невиновного причинения вреда) и причиненный ущерб должен квалифицироваться как состав преступления, оговоренный уголовным правом.
Во втором случае ущерб носит вероятностный характер и должен быть сопоставлен, как минимум с тем риском, который оговаривается гражданским, административным правом, как предмет рассмотрения.
В теории права под ущербом понимается невыгодные для собственника имущественные последствия, возникшие в результате правонарушения. Ущерб выражается в уменьшении имущества, либо в недополучении дохода, который был бы получен при отсутствии правонарушения (упущенная выгода).
При рассмотрении в качестве субъекта, причинившего ущерб какую-либо личность, категория «ущерб» справедлива только в том случае, когда можно доказать, что он причинен, то есть деяния личности необходимо квалифицировать в терминах правовых актов, как состав преступления. Поэтому, при классификации угроз безопасности информации в этом случае целесообразно учитывать требования действующего уголовного права, определяющего состав преступления.
Вот некоторые примеры составов преступления, определяемых Уголовным Кодексом Республики Казахстан:
Хищение — совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или владельцу имущества.
Копирование компьютерной информации — повторение и устойчивое запечатление информации на машинном или ином носителе.
Уничтожение — внешнее воздействие на имущество, в результате которого оно прекращает свое физическое существование либо приводятся в полную непригодность для использования по целевому назначению. Уничтоженное имущество не может быть восстановлено путем ремонта или реставрации и полностью выводится из хозяйственного оборота.
Уничтожение компьютерной информации — стирание ее в памяти ЭВМ.
Повреждение — изменение свойств имущества, при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и оно становится полностью или частично непригодным для целевого использования.
Модификация компьютерной информации — внесение любых изменений, кроме связанных с адаптацией программы для ЭВМ или баз данных.
Блокирование компьютерной информации — искусственное затруднение доступа пользователей к информации, не связанное с ее уничтожением.
Несанкционированное уничтожение, блокирование модификация, копирование информации — любые не разрешенные законом, собственником или компетентным пользователем указанные действия с информацией.
Обман (отрицание подлинности, навязывание ложной информации) — умышленное искажение или сокрытие истины с целью ввести в заблуждение лицо, в ведении которого находится имущество и таким образом добиться от него добровольной передачи имущества, а также сообщение с этой целью заведомо ложных сведений.
Однако говорить о злом умысле личности в уничтожении информации в результате стихийных бедствий не приходится, как и тот факт, что вряд ли стихия сможет воспользоваться конфиденциальной информацией для извлечения собственной выгоды. Хотя и в том и в другом случае собственнику информации причинен ущерб. Здесь правомочно применение категории «причинение вреда имуществу». При этом речь пойдет не об уголовной ответственности за уничтожение или повреждение чужого имущества, а о случаях, попадающих под гражданское право в части возмещения причиненного ущерба (риск случайной гибели имущества — то есть риск возможного нанесения убытков в связи с гибелью или порчей имущества по причинам, не зависящим от субъектов). По общему правилу в этом случае убытки в связи с гибелью или порчей имущества несет собственник, однако, гражданское право предусматривает и другие варианты компенсации причиненного ущерба.
При рассмотрении в качестве субъекта, причинившего ущерб, какое-либо природное или техногенное явление, под ущербом можно понимать невыгодные для собственника имущественные последствия, вызванные этими явлениями и которые могут быть компенсированы за счет средств третьей стороны (страхование рисков наступления события) или за счет собственных средств собственника информации.
Например, страхование представляет собой отношения по защите имущественных интересов физических и юридических лиц при наступлении определенных событий (страховых случаев) за счет денежных фондов, формируемых из уплачиваемых ими страховых взносов. Объектами страхования могут быть не противоречащие законодательству Республики Казахстан имущественные интересы, связанные с возмещением страхователем причиненного им вреда личности или имуществу физического лица, а также вреда, причиненного юридическому лицу.
Обобщая изложенное, можно утверждать, что угрозами безопасности информации являются:
1) хищение (копирование) информации;
2) уничтожение информации;
3) модификация (искажение) информации;
4) нарушение доступности (блокирование) информации;
5) отрицание подлинности информации;
6) навязывание ложной информации.
1.3 Классификация источников угроз
Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации — внутренние источники, так и вне ее — внешние источники. Деление источников на субъективные и объективные оправдано исходя из предыдущих рассуждений по поводу вины или риска ущерба информации. А деление на внутренние и внешние источники оправдано потому, что для одной и той же угрозы методы парирования для внешних и внутренних источников могу быть разными.
Все источники угроз безопасности информации можно разделить на три основные группы [4]:
1) обусловленные действиями субъекта (антропогенные источники угроз).
2) обусловленные техническими средствами (техногенные источники угроз).
3) обусловленные стихийными источниками.
Антропогенные источники угроз
Антропогенными источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы как умышленные или случайные преступления. Только в этом случае можно говорить о причинении ущерба. Эта группа наиболее обширна и представляет наибольший интерес с точки зрения организации защиты, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы противодействия в этом случае управляемы и напрямую зависят от воли организаторов защиты информации.
В качестве антропогенного источника угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть как внешние, так и внутренние.
Внешние источники могут быть случайными или преднамеренными и иметь разный уровень квалификации. К ним относятся [5]:
1) криминальные структуры;
2) потенциальные преступники и хакеры;
3) недобросовестные партнеры;
4) технический персонал поставщиков телематических услуг;
5) представители надзорных организаций и аварийных служб;
6) представители силовых структур.
Внутренние субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся:
1) основной персонал (пользователи, программисты, разработчики);
2) представители службы защиты информации;
3) вспомогательный персонал (уборщики, охрана);
4) технический персонал (жизнеобеспечение, эксплуатация).
Необходимо учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные агенты, которые могут быть из числа основного, вспомогательного и технического персонала, а также представителей службы защиты информации. Данная группа рассматривается в составе перечисленных выше источников угроз, но методы парирования угрозам для этой группы могут иметь свои отличия.
Квалификация антропогенных источников информации играют важную роль в оценке их влияния и учитывается при ранжировании источников угроз.
Техногенные источники угроз
Вторая группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Однако, последствия, вызванные такой деятельностью, вышли из-под контроля человека и существуют сами по себе. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление.
Технические средства, являющиеся источниками потенциальных угроз безопасности информации так же могут быть внешними [3, 4, 5]:
1) средства связи;
2) сети инженерных коммуникаций (водоснабжения, канализации);
3) транспорт;
4) и внутренними;
5) некачественные технические средства обработки информации;
6) некачественные программные средства обработки информации;
7) вспомогательные средства (охраны, сигнализации, телефонии);
8) другие технические средства, применяемые в учреждении;
Стихийные источники угроз
Третья группа источников угроз объединяет, обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда.
Стихийные источники потенциальных угроз информационной безопасности, как правило, являются внешними по отношению к защищаемому объекту и под ними понимаются, прежде всего, природные катаклизмы:
1) пожары;
2) землетрясения;
3) наводнения;
4) ураганы;
5) различные непредвиденные обстоятельства;
6) необъяснимые явления;
7) другие форс-мажорные обстоятельства.
1.4 Классификация уязвимостей безопасности
Угрозы как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости (факторы), приводящие к нарушению безопасности информации на конкретном объекте информатизации.
Уязвимости присущи объекту информатизации, неотделимы от него и обуславливаются недостатками процесса функционирования, свойствами архитектуры автоматизированных систем, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации и расположения.
Источники угроз могут использовать уязвимости для нарушения безопасности информации, получения незаконной выгоды (нанесения ущерба собственнику, владельцу, пользователю информации) Кроме того, возможно не злонамеренные действия источников угроз по активизации тех или иных уязвимостей, наносящих вред [6−8].
Каждой угрозе могут быть сопоставлены различные уязвимости. Устранение или существенное ослабление уязвимостей влияет на возможность реализации угроз безопасности информации.
Для удобства анализа, уязвимости разделены на классы (обозначаются заглавными буквами), группы (обозначаются римскими цифрами) и подгруппы (обозначаются строчными буквами). Уязвимости безопасности информации могут быть [3]:
1) объективными
2) субъективными
3) случайными.
Объективные уязвимости
Объективные уязвимости зависят от особенностей построения и технических характеристик оборудования, применяемого на защищаемом объекте. Полное устранение этих уязвимостей невозможно, но они могут существенно ослабляться техническими и инженерно-техническими методами парирования угроз безопасности информации. К ним можно отнести:
1) сопутствующие техническим средствам излучения
a) электромагнитные (побочные излучения элементов технических средств, кабельных линий технических средств, излучения на частотах работы генераторов, на частотах самовозбуждения усилителей)
b) электрические (наводки электромагнитных излучений на линии и проводники, просачивание сигналов в цепи электропитания, в цепи заземления, неравномерность потребления тока электропитания)
c) звуковые (акустические, виброакустические)
2) активизируемые
a) аппаратные закладки (устанавливаемые в телефонные линии, в сети электропитания, в помещениях, в технических средствах)
b) программные закладки (вредоносные программы, технологические выходы из программ, нелегальные копии ПО)
3) определяемые особенностями элементов
a) элементы, обладающие электроакустическими преобразованиями (телефонные аппараты, громкоговорители и микрофоны, катушки индуктивности, дроссели, трансформаторы и пр.)
b) элементы, подверженные воздействию электромагнитного поля (магнитные носители, микросхемы, нелинейные элементы, поверженные ВЧ навязыванию)
4) определяемые особенностями защищаемого объекта
a) местоположением объекта (отсутствие контролируемой зоны, наличие прямой видимости объектов, удаленных и мобильных элементов объекта, вибрирующих отражающих поверхностей)
b) организацией каналов обмена информацией (использование радиоканалов, глобальных информационных сетей, арендуемых каналов).
Субъективные уязвимости
Субъективные уязвимости зависят от действий сотрудников и, в основном, устраняются организационными и программно-аппаратными методами [7]:
1) ошибки
a) при подготовке и использовании программного обеспечения (при разработке алгоритмов и программного обеспечения, инсталляции и загрузке программного обеспечения, эксплуатации программного обеспечения, вводе данных)
b) при управлении сложными системами (при использовании возможностей самообучения систем, настройке сервисов универсальных систем, организации управления потоками обмена информации)
c) при эксплуатации технических средств (при включении/выключении технических средств, использовании технических средств охраны, использовании средств обмена информацией)
2) нарушения
a) режима охраны и защиты (доступа на объект, доступа к техническим средствам)
b) режима эксплуатации технических средств (энергообеспечения, жизнеобеспечения)
c) режима использования информации (обработки и обмена информацией, хранения и уничтожения носителей информации, уничтожения производственных отходов и брака)
d) режима конфиденциальности (сотрудниками в нерабочее время, уволенными сотрудниками).
Случайные уязвимости
Случайные уязвимости зависят от особенностей окружающей защищаемый объект среды и непредвиденных обстоятельств. Эти факторы, как правило, мало предсказуемы и их устранение возможно только при проведении комплекса организационных и инженерно-технических мероприятий по противодействию угрозам информационной безопасности:
1) сбои и отказы
a) отказы и неисправности технических средств (обрабатывающих информацию, обеспечивающих работоспособность средств обработки информации, обеспечивающих охрану и контроль доступа)
b) старение и размагничивание носителей информации (дискет и съемных носителей, жестких дисков, элементов микросхем, кабелей и соединительных линий)
c) сбои программного обеспечения (операционных систем и СУБД, прикладных программ, сервисных программ, антивирусных программ)
d) сбои электроснабжения (оборудования, обрабатывающего информацию, обеспечивающего и вспомогательного оборудования)
2) повреждения
a) жизнеобеспечивающих коммуникаций (электро-, водо-, газо-, теплоснабжения, канализации, кондиционирования и вентиляции)
b) ограждающих конструкций (внешних ограждений территорий, стен и перекрытий зданий, корпусов технологического оборудования)
Отдельная категория электронных методов воздействия — компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко использующего компьютерные сети, интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств. Вирусная программа, проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью компании.
Спам
Всего за несколько лет спам из незначительного раздражающего фактора превратился в одну из серьезнейших угроз безопасности [6]:
1) электронная почта в последнее время стала главным каналом распространения вредоносных программ;
2) спам отнимает массу времени на просмотр и последующее удаление сообщений, вызывает у сотрудников чувство психологического дискомфорта;
3) как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами (зачастую подобного рода события потерпевшие стараются не разглашать);
4) вместе со спамом нередко удаляется важная корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям; опасность потери корреспонденции особенно возрастает при использовании черных списков RBL и других «грубых» методов фильтрации спама.
1.5 Классификация мер противодействия угрозам информационной безопасности
Формирование режима информационной безопасности — проблема комплексная. Меры по ее решению можно подразделить на пять уровней [9]:
1) законодательный (законы, нормативные акты, стандарты и т. п.);
2) морально-этический (всевозможные нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации);
3) административный (действия общего характера, предпринимаемые руководством организации);
4) физический (механические, электрои электронно-механические препятствия на возможных путях проникновения потенциальных нарушителей);
5) аппаратно-программный (электронные устройства и специальные программы защиты информации).
Правовые (законодательные) меры
1) Законы
2) Указы
Другие нормативно-правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и права и обязанности участников информационного обмена в процессе получения, обработки, использования информации, а также устанавливающие ответственность за нарушение данных правил, препятствуя тем самым неправомерному использованию информации и сдерживающие потенциальных нарушителей.
Вместе с тем стоит учесть, что правовые меры защиты носят упреждающий и профилактический характер, требуя постоянной разъяснительной работы с персоналом и пользователями системы.
Морально-этические меры
К данному типу мер относятся нормы поведения, традиционно сложившиеся или складывающиеся по мере распространения информационных технологий в обществе. Данные нормы не являются обязательными, в отличие от правовых, однако несоблюдение их ведет к падению авторитета (престижа) человека, группы лиц или организации.
Следует учесть, что морально-этические меры бывают как неписанные (например, общепризнанные нормы патриотизма, честности, морали и т. д.) так и писанные, оформленные в некий устав, кодекс чести и т. д. Морально-этические меры защиты являются профилактическими и нуждаются в постоянной работе по укреплению здорового морального климата в коллективах пользователей и обслуживающего персонала корпоративной сети.
Административные меры
К данному классу можно отнести меры административного и процедурного характера, которые регламентируют процессы функционирования систем обработки данных, использование ресурсов, действия обслуживающего персонала, порядок взаимодействия пользователей и обслуживающего персонала, таким образом, чтобы максимально затруднить возможную реализацию угроз безопасности или снизить величину возможных потерь.
К административным мерам относят [11]:
1) охрану вычислительного центра;
2) тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком;
3) наличие плана восстановления работоспособности центра после выхода его из строя;
4) организацию обслуживания вычислительного центра посторонней организацией или лицами, не заинтересованными в сокрытии фактов нарушения работы центра;
5) универсальность средств защиты от всех пользователей (включая высшее руководство);
6) возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т. п.
Меры физической защиты
Физические меры защиты основаны на применении различного рода электронных, механических, электрических или других устройств и сооружений, предназначенных для создания физических препятствий на путях проникновения доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также средств визуального наблюдения, связи и охранной сигнализации. К данному типу мер также можно отнести пломбы, наклейки и т. д.
К техническим мерам можно отнести [12]:
1) защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем;
2) организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев;
3) установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды;
4) принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов;
5) установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.
Аппаратно-программные средства защиты информации
Несмотря на то, что современные ОС для персональных компьютеров, такие, как Windows 2000, Windows XP и Windows NT, имеют собственные подсистемы защиты, актуальность создания дополнительных средств защиты сохраняется. Дело в том, что большинство систем не способны защитить данные, находящиеся за их пределами, например при сетевом информационном обмене.
Аппаратно-программные средства защиты информации можно разбить на пять групп [13]:
1) Системы идентификации (распознавания) и аутентификации (проверки подлинности) пользователей.
2) Системы шифрования дисковых данных.
3) Системы шифрования данных, передаваемых по сетям.
4) Системы аутентификации электронных данных.
5) Межсетевое экранирование
6) Антивирусное обеспечение Системы идентификации и аутентификации пользователей Применяются для ограничения доступа случайных и незаконных пользователей к ресурсам компьютерной системы. Общий алгоритм работы таких систем заключается в том, чтобы получить от пользователя информацию, удостоверяющую его личность, проверить ее подлинность и затем предоставить (или не предоставить) этому пользователю возможность работы с системой.
При построении этих систем возникает проблема выбора информации, на основе которой осуществляются процедуры идентификации и аутентификации пользователя. Можно выделить следующие типы [8]:
1) секретная информация, которой обладает пользователь (пароль, секретный ключ, персональный идентификатор и т. п.); пользователь должен запомнить эту информацию или же для нее могут быть применены специальные средства хранения;
2) физиологические параметры человека (отпечатки пальцев, рисунок радужной оболочки глаза и т. п.) или особенности поведения (особенности работы на клавиатуре и т. п.).
Системы, основанные на первом типе информации, считаются традиционными. Системы, использующие второй тип информации, называют биометрическими. Следует отметить наметившуюся тенденцию опережающего развития биометрических систем идентификации.
Системы шифрования дисковых данных Чтобы сделать информацию бесполезной для противника, используется совокупность методов преобразования данных, называемая криптографией [от греч. kryptos — скрытый и grapho — пишу].
Системы шифрования могут осуществлять криптографические преобразования данных на уровне файлов или на уровне дисков. К программам первого типа можно отнести архиваторы типа ARJ и RAR, которые позволяют использовать криптографические методы для защиты архивных файлов. Примером систем второго типа может служить программа шифрования Diskreet, входящая в состав популярного программного пакета Norton Utilities, Best Crypt.
Другим классификационным признаком систем шифрования дисковых данных является способ их функционирования. По способу функционирования системы шифрования дисковых данных делят на два класса [2]:
1) системы «прозрачного» шифрования;
2) системы, специально вызываемые для осуществления шифрования.
В системах прозрачного шифрования (шифрования «на лету») криптографические преобразования осуществляются в режиме реального времени, незаметно для пользователя. Например, пользователь записывает подготовленный в текстовом редакторе документ на защищаемый диск, а система защиты в процессе записи выполняет его шифрование.
Системы второго класса обычно представляют собой утилиты, которые необходимо специально вызывать для выполнения шифрования. К ним относятся, например, архиваторы со встроенными средствами парольной защиты.
Большинство систем, предлагающих установить пароль на документ, не шифрует информацию, а только обеспечивает запрос пароля при доступе к документу. К таким системам относится MS Office, 1C и многие другие.
Системы шифрования данных, передаваемых по сетям Различают два основных способа шифрования: канальное шифрование и оконечное (абонентское) шифрование.
В случае канального шифрования защищается вся информация, передаваемая по каналу связи, включая служебную. Этот способ шифрования обладает следующим достоинством — встраивание процедур шифрования на канальный уровень позволяет использовать аппаратные средства, что способствует повышению производительности системы. Однако у данного подхода имеются и существенные недостатки [13]:
1) шифрование служебных данных осложняет механизм маршрутизации сетевых пакетов и требует расшифрования данных в устройствах промежуточной коммуникации (шлюзах, ретрансляторах и т. п.);
2) шифрование служебной информации может привести к появлению статистических закономерностей в шифрованных данных, что влияет на надежность защиты и накладывает ограничения на использование криптографических алгоритмов.
Оконечное (абонентское) шифрование позволяет обеспечить конфиденциальность данных, передаваемых между двумя абонентами. В этом случае защищается только содержание сообщений, вся служебная информация остается открытой. Недостатком является возможность анализировать информацию о структуре обмена сообщениями, например об отправителе и получателе, о времени и условиях передачи данных, а также об объеме передаваемых данных.
Системы аутентификации электронных данных При обмене данными по сетям возникает проблема аутентификации автора документа и самого документа, т. е. установление подлинности автора и проверка отсутствия изменений в полученном документе. Для аутентификации данных применяют код аутентификации сообщения (имитовставку) или электронную подпись.
Имитовставка вырабатывается из открытых данных посредством специального преобразования шифрования с использованием секретного ключа и передается по каналу связи в конце зашифрованных данных. Имитовставка проверяется получателем, владеющим секретным ключом, путем повторения процедуры, выполненной ранее отправителем, над полученными открытыми данными.
Электронная цифровая подпись представляет собой относительно небольшое количество дополнительной аутентифицирующей информации, передаваемой вместе с подписываемым текстом. Отправитель формирует цифровую подпись, используя секретный ключ отправителя. Получатель проверяет подпись, используя открытый ключ отправителя.
Таким образом, для реализации имитовставки используются принципы симметричного шифрования, а для реализации электронной подписи — асимметричного. Подробнее эти две системы шифрования будем изучать позже.
Межсетевое экранирование Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных.
Основной принцип действия межсетевых экранов — проверка каждого пакета данных на соответствие входящего и исходящего IP-адреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.
Антивирусное обеспечение Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unixи Linux-системы, Novell) на процессорах различных типов.
Фильтры спама значительно уменьшают непроизводительные трудозатраты, связанные с разбором спама, снижают трафик и загрузку серверов, улучшают психологический фон в коллективе и уменьшают риск вовлечения сотрудников компании в мошеннические операции. Кроме того, фильтры спама уменьшают риск заражения новыми вирусами, поскольку сообщения, содержащие вирусы (даже еще не вошедшие в базы антивирусных программ) часто имеют признаки спама и отфильтровываются. Правда положительный эффект от фильтрации спама может быть перечеркнут, если фильтр наряду с мусорными удаляет или маркирует как спам полезные сообщения, а также деловые или личные.
Единая совокупность всех этих мер, направленных на противодействие угрозам безопасности с целью сведения к минимуму возможности ущерба, образуют систему защиты.
Надежная система защиты должна соответствовать следующим принципам [15]:
1) Стоимость средств защиты должна быть меньше, чем размеры возможного ущерба.
2) Каждый пользователь должен иметь минимальный набор привилегий, необходимый для работы.
3) Защита тем более эффективна, чем проще пользователю с ней работать.
4) Возможность отключения в экстренных случаях.
5) Специалисты, имеющие отношение к системе защиты должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно на них реагировать.
6) Под защитой должна находиться вся система обработки информации.
7) Разработчики системы защиты, не должны быть в числе тех, кого эта система будет контролировать.
8) Система защиты должна предоставлять доказательства корректности своей работы.
9) Лица, занимающиеся обеспечением информационной безопасности, должны нести личную ответственность.
10) Объекты защиты целесообразно разделять на группы так, чтобы нарушение защиты в одной из групп не влияло на безопасность других.
11) Надежная система защиты должна быть полностью протестирована и согласована.
12) Защита становится более эффективной и гибкой, если она допускает изменение своих параметров со стороны администратора.
13) Система защиты должна разрабатываться, исходя из предположения, что пользователи будут совершать серьезные ошибки и, вообще, имеют наихудшие намерения.
14) Наиболее важные и критические решения должны приниматься человеком.
15) Существование механизмов защиты должно быть по возможности скрыто от пользователей, работа которых находится под контролем.
Для выявления основных слагаемых успеха в борьбе против информационных опасностей начинать надо с нормативной базы. Во-первых, это статьи Уголовного кодекса. Во-вторых — обязательное наличие или политики безопасности, или построенного на ее основе кодекса поведения сотрудника, с которым все должны быть ознакомлены под роспись. Это не является репрессивной мерой, а лишь позволяет быть уверенными, что сотрудники ознакомлены с правилами работы с информационными системами предприятия.
Второй составляющей успеха является техническая сторона, а неотъемлемой частью общекорпоративной системы безопасности является принцип минимальных полномочий. Каждый сотрудник должен обладать только тем набором полномочий, который необходим для выполнения его должностных обязанностей. Здесь основным техническим средством для реализации этого принципа являются системы аутентификации и авторизации сотрудников, включая многофакторные, а так же метод разделения сети и информационных систем на различные зоны доверия в зависимости от обрабатываемой информации и/или групп сотрудников, имеющих к ней доступ и обеспечение контроля доступа между ними. Важный вклад в борьбу вносят системы контроля поведения сотрудника и приложений, установленные на рабочих местах, включая доступ к внешним сетевым ресурсам и съемным носителям информации, а также системы контроля над доступом сотрудников к внешним информационным ресурсам — например, интернет, электронная почта и пр.
Второй принцип — это обязательное ведение журналов учета. Необходимо протоколировать доступ к информационным ресурсам предприятия, доступ к публичным информационным ресурсам, административный доступ к системам и оборудованию и т. п. Третий принцип — блокирование того, что не отвечает требованиям первых двух принципов, например различных интернет-пейджеров, одноранговых сетей и т. п.
1.6 Системное администрирование Организация группы управления защитой информации, включающей специалистов в этой области — одна из наиболее важных задач управления защитой информационной системы.
В обязанности входящих в эту группу сотрудников должно быть включено не только исполнение директив вышестоящего руководства, но и участие в выработке решений по всем вопросам, связанным с процессом обработки информации с точки зрения обеспечения его защиты. Более того, все их распоряжения, касающиеся той области, обязательны к исполнению сотрудниками всех уровней и организационных звеньев. Кроме того, организационно эта группа должна быть обособлена от всех отделов или групп, занимающихся управлением самой системой, программирование и другими относящимися к системе задачами во избежание возможного столкновения интересов.
Несмотря на то, что обязанности и ответственность сотрудников группы информационной безопасности варьируются в разных учреждениях, можно выделить несколько основных положений, которым должны соответствовать функциональные обязанности во всех организациях.
В обязанности сотрудников группы информационной безопасности входит [16]:
1) Управление доступом пользователей системы к данным, включая установку и периодическую смену паролей, управление средствами защиты коммуникаций и криптозащиту передаваемых, хранимых и обрабатываемых данных.
2) Разработка планов защиты и контроль за их соблюдением, а также контроль за хранением резервных копий.
3) Доведение до пользователей изменений в области защиты, которые имеют к ним отношение, обучение персонала и пользователей информационной системы.
4) Взаимодействие со службой менеджмента информационной системы по вопросы защиты информации.
5) Совместная работа с представителями других организаций по вопросам безопасности — непосредственный контакт или консультации с партнерами или клиентами.
6) Тесное сотрудничество и дружественные отношения со службой менеджмента и администрацией информационной системы.
7) Расследование причин нарушений защиты.
8) Координация действий с аудиторской службой, совместное проведение проверок.
9) Постоянная проверка соответствия принятых в организации правил безопасности обработки информации существующим правовым нормам, контроль за соблюдением этого соответствия.
10) Поддержание хороших отношений с теми отделами, чьи задачи могут по каким-то особым причинам выполняться в обход существующих правил.
Естественно, все эти задачи не под силу одному человеку, особенно если организация довольно велика. Более того, в группу управления защитой могут входить сотрудники с разными функциональными обязанностями. Обычно выделяют 4 группы сотрудников по возрастанию иерархии:
Сотрудник группы безопасности. В его обязанности входит обеспечение должного контроля за защитой наборов данных и программ, помощь пользователям, организация общей поддержки групп управления защитой и менеджмента в своей зоне ответственности.
Администратор безопасности системы. В его обязанности входит ежемесячное опубликование нововведений в области защиты, новых стандартов, контроль за выполнением планов непрерывной работы, восстановление системы после сбоев, хранение резервных копий.
Администратор безопасности данных. В его обязанности входит реализация и изменение средств защиты данных, контроль за состоянием защиты наборов данных, ужесточение защиты в случае необходимости, а также координирование работы с другими администраторами.
Руководитель (начальник) группы по управлению обработкой информации и защитой. В его обязанности входит разработка и поддержка эффективных мер защиты при обработке информации для обеспечения сохранности данных, оборудования и программного обеспечения, контроль за выполнением плана восстановления и общее руководство административными группами в подсистемах ИС при децентрализованном управлении.
Выводы по разделу:
В первом разделе посвященном проблеме обеспечения защиты информации говорится о существующих классификациях угроз информационной безопасности, классификации источников угроз, классификации уязвимостей безопасности, классификации мер противодействия угрозам информационной безопасности и ущербе. Все источники угроз информационной безопасности можно разделить на три основные группы: обусловленные действиями субъекта, обусловленные техническими средствами, обусловленные стихийными источниками. Они могут быть внешними и внутренними. К внешним относятся: криминальные структуры, потенциальные преступники и хакеры, недобросовестные партнеры, технический персонал поставщиков телематических услуг, представители надзорных организаций и аварийных служб, представители силовых структур. К внутренним относят основной персонал (пользователи, программисты, разработчики), представители службы защиты информации, вспомогательный персонал (уборщики, охрана), технический персонал (жизнеобеспечение, эксплуатация). Классификация уязвимостей безопасности делится на: объективные, субъективные, случайные, компьютерные вирусы, спам. К классификации мер противодействия угрозам информационной безопасности относят: законодательный, морально-этический, административный, физический, аппаратно-программный.
Ущерб, как категория классификации угроз делится на: моральный, материальный, физический. К ущербу также относятся: хищение, копирование, повреждение, модификация, несанкционированное уничтожение, нарушение доступности, отрицание подлинности, навязывание ложной информации.
Обобщая изложенное, можно утверждать, что самыми тяжкими угрозами безопасности информации являются: уничтожение, хищение и модификация информации, самыми вредоносными источниками угроз являются антропогенные источники угроз и стихийные. Основными уязвимостями безопасности являются вирусы, спам и субъективные уязвимости. Самой эффективной мерой противодействия угрозам являются системы шифрования дисков данных.
Раздел 2. Анализ системы защиты информации на предприятии
2.1 Методика анализа защищенности В настоящее время не существует каких-либо стандартизированных методик анализа защищенности информации на предприятии, поэтому в конкретных ситуациях алгоритмы действий аудиторов могут существенно различаться. Однако типовую методику анализа защищенности системы предложить все-таки возможно.
Типовая методика включает использование следующих методов [10]:
1) Изучение исходных данных о предприятии;
2) Оценка рисков, связанных с осуществлением угроз безопасности в отношении ресурсов системы;
3) Анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации по обеспечению режима информационной безопасности и оценка их соответствия требованиям существующих нормативных документов, а также их адекватности существующим рискам;
4) Сканирование внешних сетевых адресов ЛВС из сети Интернет;
5) Сканирование ресурсов ЛВС изнутри;
6) Анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств.
Исходные данные об исследуемой системе При проведении работ по аттестации безопасности системы, включающих в себя предварительное обследование и анализ защищенности объекта информатизации, заказчиком работ должны быть предоставлены следующие исходные данные [15]:
1) Полное и точное наименование объекта информатизации и его назначение.
2) Организационная стpуктуpа объекта информатизации.
3) Перечень помещений, состав комплекса технических средств (основных и вспомогательных), входящих в объект информатизации, в которых (на которых) обрабатывается указанная информация.
4) Особенности и схема расположения объекта информатизации с указанием границ контpолиpуемой зоны.
5) Стpуктуpа пpогpаммного обеспечения (общесистемного и прикладного), используемого на аттестуемом объекте информатизации и предназначенного для обработки защищаемой информации.
6) Общая функциональная схема объекта информатизации, включая схему информационных потоков и режимы обработки защищаемой информации.
7) Наличие и хаpактеp взаимодействия с другими объектами информатизации.
8) Состав и стpуктуpа системы защиты информации на аттестуемом объекте информатизации.
9) Перечень технических и пpогpаммных средств в защищенном исполнении, средств защиты и контроля, используемых на аттестуемом объекте информатизации и имеющих соответствующий сертификат, предписание на эксплуатацию.
10) Наличие на объекте информатизации (на пpедпpиятии, на котором расположен объект информатизации) службы безопасности информации, службы администpатоpа (автоматизированной системы, сети, баз данных).
11) Наличие и основные хаpактеpистики физической защиты объекта информатизации (помещений, где обрабатывается защищаемая информация и хранятся информационные носители).
2.2 Общая характеристика предприятия и мер безопасности ТОО «Promo Park» образовалось в 2002 году. Предприятие находится по адресу: проспект Аль-Фараби 19 офис 7. ТОО «Promo Park» является самостоятельным предприятием. Основная деятельность предприятия создание рекламных текстов объявлений, изготовление логотипов, размещение рекламы на автотранспорте и многое другое в сфере рекламы.
Работая в этой отрасли в течение 7 лет, предприятие наработало постоянных клиентов, спрос на оказание услуг у предприятия растет. Структура предприятия мобильна. Специалисты высококвалифицированные, поэтому вопросы решаются быстро и грамотно.
Схема сети предприятий на территории Республики Казахстан (рисунок 1).
Рисунок 1. Схема сети предприятий Основные направления деятельности предприятия:
1. Consumer promotion (прямой контакт с потребителем)
• консультации — прямой рассказ о товаре;
• вручение подарков за совершение покупки.
2. Trade promotion (ускорение оборота и увеличение объемов продаж, через продвижение продукта)
• оформление мест продаж, размещение POS материалов;
• информирование оптовых и розничных предприятий;
• премии и конкурсы для работников торговых точек.
3. Sales promotion (промоакции по стимулированию сбыта).
4. Testing (проведение дегустации продукта, спреингдегустаций)
• организация дегустации в местах продаж.
5. Sampling (раздача пробных образцов продукции).
6. Direct mail распространение листовок, раздача любых рекламных материалов:
• на рынках, по торговым точкам города, области и т. д.;
• на перекрестках города, заправочных станциях, по автомобилям, на выставках, на территории отелей, ресторанов, клубов, кинотеатров, театров;
• по почтовым ящикам (адресная рассылка рекламных материалов по почте, конкретным потенциальным покупателям);
7. Создание рекламных текстов объявлений.
8. Оформление витрин, выставокпродаж. Оказание помощи в участии выставок, ярмарок, экспозиций. Предоставим стендистки — промоутера со знанием иностранных языков.
9. Опрос потребителей на заданные темы.
10. Размещение рекламы на автотранспорте.
11. Информирование потребителя через информационный центр.
12. Рекламная фотосъёмка (разработка сюжета, кастинг актёров, подбор натуры и необходимого реквизита, организация съёмочного процесса).
13. Изготовление визиток, логотипов.
14. Представительская и сувенирная продукция. Разработка индивидуального подарка.
15. POSматериалы (промоцентры, промостенды, стойки для продукции).
16. Создание униформы (эскизы промоодежды соответствующие маркетинговым образам и задачам), подбор тканей и других вспомогательных материалов, пошив и изготовление изделий.
17. Игровой маркетинг (лотереи, конкурсы, розыгрыши).
18. Услуги художника-портретиста.
19. Шоумаркетинг (организация специальных программ продвижения товара и услуг в рамках шоу мероприятия).
Как и любое другое предприятие, ТОО «Promo Park» имеет свою организационную структуру управления. Организационная структура управления ТОО «Promo Park» выглядит следующим образом (рисунок 2):
Рисунок 2. Структурная схема предприятия.
На следующем рисунке представлена схема информационных потоков.
Рисунок 3. Существующая схема организации информационных потоков: 1 — управление организацией, 2−6 — подразделения организации
Структурная схема сети ТОО «Promo Park» представлена на рисунке 4.
Рисунок 4. Структурная схема сети Техническая оснащенность предприятия.
В кабинете директора: CPU Intel Core 2 Duo 2,53 GHz, ОЗУ 1024 Mb, HDD Samsung 200 Gb, Видеокарта NVIDIA GeForce 6600GT, Монитор Samsung 19 dime. OS Windows XP Professional RU license. Microsoft Office 2007, Антивирус Касперского 7.0.
В отделе зам. директора: CPU Intel Pentium IV 2,80GHz, ОЗУ 1024Mb, HDD Seagate 200 Gb, Видеокарта ATI Radeon 9600 SE, Монитор LG Flatron 17 dime. OS Windows XP Professional RU license. Microsoft Office 2007, Антивирус Касперского 7.0. Power DVD.
В кабинете главного бухгалтера: CPU Celeron 2,53 GHz, ОЗУ 1024 Mb, HDD Samsung 200 Gb, Видеокарта NVIDIA GeForce 6800GTX, Монитор Samsung 17 dime. OS Windows XP Professional RU license. Microsoft Office 2007, Антивирус Касперского 7.0. 1C Бухгалтерия 7.7. ЭФНО, ИСИД, НДС.
В отделе помощниц главного бухгалтера и экономиста 3 компьютера: CPU Intel Pentium IV 2,80GHz, ОЗУ 1024 Mb, HDD Baracuda 180 Gb, Видеокарта ATI Radeon 9800 XE, Монитор LG 17 dime.
В кабинете системного администратора: CPU Intel Core 2 Duo 3,00 GHz, ОЗУ 2048 Mb, HDD Samsung 350 Gb, Видеокарта NVIDIA GeForce 9600GT, Монитор Samsung 19 dime. OS Windows XP Professional RU license. Microsoft Office 2007, Антивирус Касперского 7.0, Adobe Photoshop CS 3, Corel Draw 10.
В отделе графики и дизайна 9 одинаковых компьютеров: CPU Intel Core 2 Duo 2,80 GHz, ОЗУ 2048 Mb, HDD Samsung 350 Gb, Видеокарта NVIDIA GeForce 8600GT, Монитор Samsung 19 dime. OS Windows XP Professional RU license. Microsoft Office 2007, Антивирус Касперского 7.0, Adobe Photoshop CS 3, Corel Draw 10, а также специальные программы для разработки логотипов.
В отделе инженера-электронщика и оператора ЭВМ 2 компьютера: CPU Intel Pentium IV 2,80GHz, ОЗУ 1024 Mb, HDD Baracuda 180 Gb, Видеокарта ATI Radeon 9800 XE, Монитор LG 17 dime. OS Windows XP Professional RU license. Microsoft Office 2007, Антивирус Касперского 7.0, Adobe Photoshop CS 3, Corel Draw 10.
CPU Intel Core 2 Duo 3,00 GHz, ОЗУ 2048 Mb, HDD Samsung 300 Gb, Видеокарта NVIDIA GeForce 8600GT, Монитор Samsung 19 dime. OS Windows XP Professional RU license. Microsoft Office 2007, Антивирус Касперского 7.0, Adobe Photoshop CS 3.
На серверах используется система Windows 2003 Server, которая разработана на основе ядра NT.
Эта система обеспечивают хороший уровень безопасности, а также имеет очень надежную структуру. Так же на сервер установлены программы 1С: Предприятие и 1С: Бухгалтерия.
На пользовательских компьютерах установлена операционная система Windows 2000 Professional, Windows XP. Выбор был обусловлен тем, что данная операционная система затрачивает мало ресурсов компьютера и в тоже время обеспечивает высокую информационную безопасность потоков, проходящих через локальную сеть. А также проста в установке, что позволяет легко исправлять проблемы, также у нее довольно хорошая сетевая поддержка, и что самое главное она довольно проста в обслуживании.
ЛВС построена на основе технологии Fast Ethernet, стандарт IEEE 802.3u (100Base-T). Передача данных по витой паре 5 категории. Расширяемость на базе витой пары намного гибче, чем на коаксиальном кабеле. Достигается это за счет топологии «звезда», где центральную роль играет Свитч. Свитчи связаны между собой кроссовым кабелем. Таким образом достигаются огромные возможности для расширения сети. Поэтому для соединения компьютеров в сеть внутри зданий мы выбираем витую пару, а для соединений сети между зданиями мы выбираем оптоволоконный кабель. В оптоволоконном кабеле передаваемые данные распространяются в виде модулированных световых импульсов по оптическим волокнам. В связи с этим это относительно надёжный и защищенный способ передачи данных, так как электрические сигналы при этом не передаются.
Физическая топология — «звездно — шинная». Пропускная способность сети определяется вычислительной мощностью узла и гарантируется для каждой рабочей станции. Коллизий (столкновений) данных не возникает.
Кабельное соединение довольно простое, так как каждая рабочая станция связана с узлом. При расширении вычислительных сетей не могут быть использованы ранее выполненные кабельные связи: к новому рабочему месту необходимо прокладывать отдельный кабель из центра сети.
Топология в виде звезды является наиболее быстродействующей из всех топологий вычислительных сетей, поскольку передача данных между рабочими станциями проходит через центральный узел (при его хорошей производительности) по отдельным линиям, используемым только этими рабочими станциями. Частота запросов передачи информации от одной станции к другой невысокая по сравнению с достигаемой в других топологиях. Производительность вычислительной сети в первую очередь зависит от мощности центрального файлового сервера. Он может быть узким местом вычислительной сети. Центральный узел управления — файловый сервер помогает реализовать оптимальный механизм защиты против несанкционированного доступа к информации. Вся вычислительная сеть может управляться из ее центра.
Логическая топология CSMA/CD (МДКН/ОК) — недетерминированный (случайный) доступ.
Активное оборудование:
1) Сервера (БД, файловый, почтовый, интернет, сервер резервного копирования данных)
2) Swich (коммутатор)
3) Hub (концентратор)
4) Рабочие станции типа IBM PC совместимые
5) Сетевые адаптеры Fast Ethernet
6) Модемы Пассивное оборудование:
1) Кабель UTP кат. 5
2) Розетки UTP кат. 5
3) Короба для кабеля Функции системного администратора
В круг типовых задач системного администратора входит:
1) подготовка и сохранение резервных копий данных, их периодическая проверка и уничтожение;
2) установка и конфигурирование необходимых обновлений для операционной системы и используемых программ;
3) установка и конфигурирование нового аппаратного и программного обеспечения;
4) создание и поддержание в актуальном состоянии пользовательских учётных записей;
5) ответственность за информационную безопасность в компании;
6) документирование своей работы;
7) устранение неполадок в системе.
2.3 Обеспечение Интернет-безопасности на предприятии Защита от несанкционированного доступа осуществляется при помощи системы ISA Server 2003.
Защита от вирусов на компьютерах сотрудников, в том числе приходящих с почтой, осуществляется программой Norton Antivirus Corp Edition 7.5.1 Rus и Norton Antivirus for Exchange 2.5.1 Rus соответственно.
У каждого пользователя имеется на сервере свой профиль, который подгружается с сервера на любую локальную машину при входе под логином и паролем, определенным для данного пользователя. Пользователь сам задает свой пароль и никто, кроме администратора, не может его обнулить. Пользователь может самостоятельно поменять свой пароль в любой момент времени, или система предложит ему сделать это в обязательном порядке по истечении 30 дней со дня последней смены пароля. Профиль пользователя представляет собой область на жестком диске сервера, в момент сеанса работы пользователь имеет доступ к этому разделу на сервере как к логическому диску. Данный логический диск у всех пользователей свой, там они могут хранить конфиденциальную для себя информацию.
При входе в систему весь профиль пользователя (его настройки рабочего стола, папок, панели быстрого доступа, системного трея и т. д.) копируются на локальную машину. Они не удаляются после окончания сеанса работы. Администратор может на локальной машине удалить все загруженные на данную машину профили.
Возможна одновременная загрузка одного профиля на нескольких машинах, при этом происходит синхронизация профиля с последним по времени отключения от сервера сеансом.
В рамках обеспечения информационной безопасности была проведена серия работ:
1. Настройка серверов на базе Windows:
— Для безопасной и защищенной почты.
— Для размещения собственных сайтов — исключение возможности сетевого вторжения.
— Объединения филиалов компании в единое безопасное информационное пространство.
— Для обеспечения безопасного хранения данных.
— Отслеживание переписки сотрудников как внутренней, так и внешней.
— Учет расхода трафика интернета.
— Совместная работа в сети, удаленный контроль над работой офиса.
2. Настройка почтовых серверов (mdaemon, exchange и пр.)
— Безопасная и конфиденциальная деловая переписка.
— Вся электронная почта обрабатывается в офисе.
— Исключение возможности санкционированного и несанкционированного доступа.
— Снижение затрат на Интернет-трафик.
— Настройка офисных локальных сетей.
— Совместная работа всех пользователей компьютеров в офисе.
— Отслеживание активности персонала, адреса интернета, контакты, переписка.
— Регламентирование Интернета сотрудникам.
— Настройка рабочих станций.
— Настройка ПК для персонала.
— Исключение возможностей несанкционированной передачи конфиденциальных данных.
— Настройка групповых политик.
— Разделение пользователей по правам доступа к информации и технике.
Разграничение доступа пользователей к ресурсам сети.
С целью предотвращения несанкционированного доступа к критичной информации о состоянии защищенности сети, а также предотвращая неавторизованную реконфигурацию управляемых средств защиты, был реализован механизм разграничения доступа к его функциям.
Задача авторизации и разграничения доступа — это запрещение работать в Интернет кому попало и соотнесение трафика конкретному пользователю или службе с целью его учета.
Идентифицировать клиента можно по его сетевым адресам — IP и MAC адресу. Этот подход самый простой, но имеет недостатки. В организации, как правило, нет привязки сотрудника к конкретному компьютеру. На одном компьютере могут работать несколько человек, или они могут работать на разных компьютерах. Для пользователей следует использовать авторизацию по имени.
В корпоративной сети предприятия ТОО «Promo Park» имеются разнотипные компьютеры с различным ПО. В рамках одной сети поддерживаются совершенно разные протоколы информационного взаимодействия. В неоднородной программно-аппаратной среде гораздо сложнее проверить согласованность конфигурации различных компонентов и осуществлять централизованное управление. Повышение неоднородности программно-аппаратных средств приводит к существенному повышению сложности системы информационно-компьютерной безопасности. Для усложненной системы защиты практически невозможно формально или неформально доказать ее корректность, а также полностью проверить правильность ее функционирования.
В этих условиях усиливаются угрозы несанкционированного доступа (НСД) к общим ресурсам корпоративной сети и со стороны внутренних нарушителей.
Бороться с такими угрозами одними лишь средствами универсальных операционных систем (ОС) и программных серверов (СУБД, Web, электронной почты и др.) уже не представляется возможным. Универсальная ОС, как и любой программный сервер это слишком большой и сложный комплекс программ, который, с одной стороны, может содержать внутренние ошибки и недоработки, а с другой не всегда обеспечивает защиту от ошибок администраторов и пользователей. Современная технология программирования не позволяет сделать столь большие программы безопасными. Здесь характерны как явные ошибки разработки, так и существенные недостатки, связанные с недоработкой концептуальных и ряда детальных требований к системе безопасности. Кроме того, администратор, имеющий дело со сложной системой, далеко не всегда в состоянии эффективно ее настроить и сконфигурировать. Наконец, в универсальной многопользовательской системе бреши в безопасности постоянно создаются самими пользователями, например, тривиальные и редко изменяемые пароли.
Поэтому единственным выходом из сложившейся ситуации стало усиление защиты общих ресурсов корпоративной сети уровнем разграничения внутрисетевого доступа, построенном на основе внутренних межсетевых экранов. Средства межсетевого экранирования, называемые также системами Firewall или брандмауэрами, обеспечивают целостную защиту общих сетевых сервисов от враждебной среды.
Брандмауэр — это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую (см рисунок 5). Как правило, эта граница проводится между локальной сетью предприятия и интернет, хотя ее можно провести и внутри локальной сети предприятия. Брандмауэр таким образом пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил.
Рисунок 5. Схема функционирования брандмауэра.
Все брандмауэры можно разделить на три типа:
1. пакетные фильтры (packet filter)
2. сервера прикладного уровня (application gateways)
3. сервера уровня соединения (circuit gateways)
Все типы могут одновременно встретиться в одном брандмауэре.
Пакетные фильтры Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета. IP-адрес и номер порта — это информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.
Сервера прикладного уровня
Брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов — TELNET, FTP и т. д. (proxy server), запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.
Полный набор поддерживаемых серверов различается для каждого конкретного брандмауэра, однако чаще всего встречаются сервера для следующих сервисов:
1) терминалы (Telnet, Rlogin)
2) передача файлов (Ftp)
3) электронная почта (SMTP, POP3)
4) WWW (HTTP)
5) Gopher
6) Wais
7) X Window System (X11)
8) Принтер
9) Rsh
10) Finger
11) новости (NNTP) и т. д.
Использование серверов прикладного уровня позволяет решить важную задачу — скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации на пользовательском уровне (аутентификация — процесс подтверждения идентичности чего-либо; в данном случае это процесс подтверждения, действительно ли пользователь является тем, за кого он себя выдает).
При описании правил доступа используются такие параметры как название сервиса, имя пользователя, допустимый временной диапазон использования сервиса, компьютеры, с которых можно пользоваться сервисом, схемы аутентификации. Сервера протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты — взаимодействие с внешним миров реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.
Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.
Как правило, пункт назначения задается заранее, в то время как источников может быть много (соединение типа один — много). Используя различные порты, можно создавать различные конфигурации.
Такой тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.
В ТОО «Promo Park» используется брандмауэр Outpost Firewall 2.5.369.4608.
Политика межсетевого взаимодействия является той частью политики безопасности в организации, которая определяет требования к безопасности информационного обмена с внешним миром.
Политика доступа к сетевым сервисам определяет правила предоставления, а также использования всех возможных сервисов защищаемой компьютерной сети. Соответственно, в рамках данной политики должны быть заданы все сервисы, предоставляемые через сетевой экран, а также пользователи и допустимые адреса клиентов для каждого сервиса. Кроме того, должны быть указаны правила для пользователей, описывающие, когда и какие пользователи, каким сервисом и на каком компьютере могут воспользоваться. Отдельно определяются правила аутентификации пользователей и компьютеров, а также условия работы пользователей вне локальной сети организации.
Политика работы межсетевого экрана задает базовый принцип управления межсетевым взаимодействием, положенный в основу функционирования брандмауэра. Может быть выбран один из двух таких принципов:
— запрещено все, что явно не разрешено;
— разрешено все, что явно не запрещено.
В первом случае межсетевой экран должен быть сконфигурирован таким образом, чтобы блокировать любые явно не разрешенные межсетевые взаимодействия. Учитывая, что такой подход позволяет адекватно реализовать принцип минимизации привилегий, он лучше, с точки зрения безопасности. При выборе принципа разрешено все, что явно не запрещено межсетевой экран настраивается так, чтобы блокировать только явно запрещенные межсетевые взаимодействия. В этом случае выше удобство использования сетевых сервисов со стороны пользователей, но ниже безопасность межсетевого взаимодействия. Администратор может учесть не все действия, которые запрещены пользователям.
На ТОО «Promo Park» используется второй принцип.
Для подключения межсетевых экранов могут использоваться различные схемы, которые зависят от условий функционирования, а также количества сетевых интерфейсов брандмауэра. Для небольшой корпоративной сети, какая имеется в ТОО «Promo Park», достаточным является использование только 2-х межсетевых экранов (рисунок 6).
Защищаемая открытая подсеть здесь выступает в качестве экранирующей подсети. Обычно экранирующая подсеть конфигурируется таким образом, чтобы обеспечить доступ к компьютерам подсети как из потенциально враждебной внешней сети, так и из закрытых подсетей локальной сети. Однако прямой обмен информационными пакетами между внешней сетью и закрытыми подсетями невозможен. При атаке системы с экранирующей подсетью необходимо преодолеть, по крайней мере, две независимых линии защиты, что является весьма сложной задачей. Средства мониторинга состояния межсетевых экранов практически неизбежно обнаружат подобную попытку, и администратор системы своевременно предпримет необходимые действия по предотвращению НСД.
Рисунок 6. Схема подключения межсетевых экранов Межсетевой экран представляет собой программно-аппаратный комплекс защиты, состоящий из компьютера, а также функционирующих на нем ОС и специального ПО. Следует отметить, что это специальное ПО часто также называют брандмауэром.
Компьютер брандмауэра достаточно мощный и физически защищенный, он находится в специально отведенном и охраняемом помещении. Кроме того, он имеет средства защиты от загрузки ОС с несанкционированного носителя.
ОС брандмауэра также удовлетворяет ряду требований:
— иметь средства разграничения доступа к ресурсам системы;
— блокировать доступ к компьютерным ресурсам в обход предоставляемого программного интерфейса;
— запрещать привилегированный доступ к своим ресурсам из локальной сети;
— содержать средства мониторинга/аудита любых административных действий.
Приведенным требованиям удовлетворяют различные разновидности ОС UNIX, а также Microsoft Windows NT/2000/2003 Server. На ТОО «Promo Park» используется Microsoft Windows 2003 Server.
Предъявляемые требования к любому средству защиты информации в компьютерной сети можно разбить на следующие категории:
— функциональные решения требуемой совокупности задач защиты;
— требования по надежности способности своевременно, правильно и корректно выполнять все предусмотренные функции защиты;
— требования по адаптируемости способности к целенаправленной адаптации при изменении структуры, технологических схем и условий функционирования компьютерной сети;
— эргономические требования по удобству администрирования, эксплуатации и минимизации помех пользователям;
— экономические минимизации финансовых и ресурсных затрат.
Межсетевые экраны должны удовлетворять следующим требованиям.
По целевым качествам обеспечивать безопасность межсетевого взаимодействия и полный контроль над подключениями и сеансами связи.
По управляемости и гибкости обладать мощными и гибкими средствами управления для полного воплощения в жизнь политики безопасности организации. Брандмауэр должен иметь простую реконфигурацию системы при изменении структуры сети. Система управления экранами должна быть интегрирована с корпоративной службой каталогов, и иметь возможность централизованно обеспечивать для них проведение единой политики межсетевых взаимодействий.
По производительности и прозрачности работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик при максимальной нагрузке.
По самозащищенности обладать свойством самозащиты от любых несанкционированных воздействий. Поскольку межсетевой экран является и ключом, и дверью к конфиденциальной информации в организации, он должен блокировать любые попытки несанкционированного изменения его параметров настройки, а также включать развитые средства самоконтроля своего состояния и сигнализации.
В настоящее время общеупотребительным подходом к построению критериев оценки средств информационно-компьютерной безопасности является использование совокупности определенным образом упорядоченных качественных требований к подсистемам защиты, их эффективности и эффективности реализации. Показатели защищенности от несанкционированного доступа к информации, где устанавливается классификация межсетевых экранов по уровню защищенности от НСД к информации. Данная классификация построена на базе перечня показателей защищенности и совокупности описывающих их требований.
Показатели защищенности применяются к брандмауэрам для определения уровня защищенности, который они обеспечивают при межсетевом взаимодействии. Конкретные перечни показателей определяют классы межсетевых экранов по обеспечиваемой защищенности компьютерных сетей. Деление брандмауэров на соответствующие классы по уровням контроля межсетевых информационных потоков необходимо для разработки и принятия обоснованных и экономически оправданных мер по достижению требуемой степени защиты информации при межсетевых взаимодействиях.
Устанавливается 5 классов межсетевых экранов по показателям защищенности. Самый низкий класс защищенности пятый, применяемый для безопасного взаимодействия автоматизированных систем (АС) класса 1Д с внешней средой, четвертый для 1 Г, третий 1 В, второй 1Б, самый высокий первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой. При включении брандмауэра в АС определенного класса защищенности, класс защищенности совокупной системы, полученной из исходной путем добавления в нее межсетевого экрана, не должен понижаться. Для АС класса 3Б, 2Б должны применяться брандмауэры не ниже 5 класса. Для АС класса 3А, 2А, в зависимости от важности обрабатываемой информации, должны применяться брандмауэры следующих классов:
— при обработке информации с грифом секретно не ниже 3 класса;
— при обработке информации с грифом совершенно секретно не ниже 2 класса;
— при обработке информации с грифом особой важности не ниже 1 класса.
2.4 Совершенствование комплексной системы защиты информации на предприятии
Что должно быть реализовано в организации при условии, что служба информационной безопасности работает в некоторых идеальных условиях (неограниченный бюджет, достаточное количество квалифицированных специалистов и т. п.):
1) Вся работа службы информационной безопасности (как и всего предприятия) организована в строгом соответствии с законодательством государства.
2) Все кандидаты для приема на работу проходят собеседование и проверку службой информационной безопасности. Вновь принятые работники и сторонние специалисты по контракту проходят обучение основам безопасности, ознакомление с нормативными документами по безопасности, тестирование на уровень квалификации для работы с информационными системами и подтверждают подписью свое обязательство, следовать нормативам организации (в том числе и по безопасности). Увольняющиеся работники проходят собеседование с представителем службы безопасности, увольнение работника сразу отражается в информационных системах (блокирование и удаление учетных записей, изъятие карт доступа и т. д.). Сотрудники организации проходят периодические семинары и обучение по информационной безопасности.
3) Ведется анализ моральной и психологической обстановки в организации, учет нарушений безопасности конкретными сотрудниками для выявления возможных тенденций. Поощряется тесный информационный контакт пользователей со службой безопасности. Выборочно или постоянно анализируется электронная почта сотрудников с соответствующим нормативным оформлением процедуры. Регулярно производится авторизованный мониторинг активности пользователя на рабочей станции.
4) Все данные, объекты и информационные системы проклассифицированы. Субъекты распределены по ролям. Определена надежная структура и внедрен механизм доступа субъектов к объектам с учетом наименьших привилегий и разделения обязанностей. Каждый новый объект своевременно классифицируется и устанавливается в общую схему информационного пространства.
5) Обеспечено нормативное пространство. Для всех информационных систем существуют политики, для функциональных обязанностей пользователей — правила, процедуры и методики. Изменения в работе организации и сотрудников адекватно отражаются в соответствующих документах.
6) Способы аутентификации пользователей находятся под контролем службы информационной безопасности, т. е. производится периодический анализ отсутствия слабых паролей, фактов передачи паролей другим лицам, оставление токенов без надзора и т. п. Идентификация пользователей стандартизирована, имеется четкая таблица соответствия пользователь — сетевые адреса, разрешенные для работы данного пользователя (username, IP-адрес, MAC-адрес и т. д.).
7) Внешний удаленный доступ в информационную сеть предприятия (выход во внешнее информационное пространство) ограничен единственным центральным шлюзом плюс существует резервный канал связи, неактивный в штатном режиме. Оба канала защищены межсетевыми экранами, которые надежно функционируют, корректно настроены и регулярно подвергаются проверке службой информационной безопасности. Все модемы и другие устройства удаленного доступа учтены и также сведены к указанной единой точке входа/выхода. Снаружи по отношению к точке входа установлен агент сетевой системы обнаружения атак (СОА).
8) Настроено подробное ведение регистрационных журналов по всем информационным системам. Ведется регулярная автоматизированная обработка этих журналов, а также периодический выборочный ручной их анализ на предмет выявления подозрительных или злоумышленных событий. Система анализа информационной активности интегрирована с системой физического доступа сотрудников в здание и к рабочим местам. Все регистрационные журналы сохраняются наряду с резервными копиями и архивами бизнес-данных.
9) На каждый компьютер в сети установлен антивирусный пакет, кроме того антивирусы установлены на почтовый сервер, межсетевой экран и другие ключевые узлы. Режим работы антивируса — перехват на лету (autoprotect). Антивирусные базы обновляются ежедневно, а также при поступлении информации о новом вирусе.
10) Ведется строгий учет движения любой единицы аппаратного обеспечения или ее составляющей, а также строгий учет аппаратной или программной конфигурации каждого объекта или системы. При изменении конфигурации немедленно производится сохранение соответствующих настроек. Ведется регулярный мониторинг производительности работы аппаратного обеспечения, операционных систем, информационной системы в целом.
11) Произведена подписка на соответствующие бюллетени по информационной безопасности, изучаются сообщения о новых атаках, вирусах, уязвимостях и т. п., новых решениях и механизмах по безопасности. Налажена процедура регулярного получения и установки программных заплат (patches, hotfixes, updates и т. п.) и их тестирование. Производится аналитическая работа по определению тенденций развития атак, появлению уязвимостей, новых продуктов на рынке безопасности, новых технологий.
12) Все каналы обмена данными в информационной сети криптографически защищены, внутри локальной сети организованы виртуальные сети. Любой обмен данными регистрируется в электронных журналах и снабжен средством контроля целостности. Обеспечен контроль целостности данных, системных файлов и т. п. на серверах и рабочих станциях. Обмен данными между пользователями производится с использованием электронной цифровой подписи. Организовано надежное управление криптографическими ключами.
13) Обеспечен контроль входящей и исходящей информации на внешних носителях. Установлены надежные защищенные (возможно, виртуальные) шлюзы обмена информацией с внешними информационными системами (обеспечены соответствующие интерфейсы, установлена связь с центром сертификатов, получен корневой сертификат организации и т. д.).
14) Регулярно производится процедура тестирования всей сети или отдельных систем на взлом. В распоряжении службы информационной безопасности имеется команда программистов для создания собственных программ или утилит для анализа защищенности либо, наоборот, для защиты объектов и систем.
15) После изменения любой единицы данных обеспечивается ее резервное копирование либо организовано избыточное сохранение данных (RAID). Обеспечивается географически разнесенное защищенное сохранение архивов и резервных копий. Все сетевые устройства имеют возможность быстрой замены (продублированы), все каналы передачи данных имеют альтернативные линии. Здание организации имеет горячий резерв (hotside). Обеспечено бесперебойное электропитание (и контроль его работы) основного и резервного зданий. Ключевые работники организации могут выполнять функции друг друга либо имеют функциональных дублеров. Имеется регулярно обновляемый аварийный план.
16) Контроль за любой системой или объектом децентрализован. Служба информационной безопасности принимает участие в любом проекте организации (в том числе и в разработке программного обеспечения) с правом внесения серьезных изменений и запретов в рамках своих функций. Служба имеет полномочия к принятию и реализации решений, связанных с информационной безопасностью.
17) Обеспечено единое согласованное непротиворечивое управление всеми автоматизированными средствами информационной безопасности.
Выводы по разделу Во втором разделе говорится об анализе системы защиты информации на предприятии, методике анализа защищенности, дается общая характеристика предприятия и мер безопасности, представлены рекомендации по совершенствованию комплексной защиты информации, рекомендации затрагивают 3 основные сферы организации безопасности: документационная, компьютерная безопасность, безопасность в плане приема новых сотрудников на работу. Естественно, что в реальной жизни не удастся реализовать эту идеальную программу полностью. Однако, во-первых, она обозначает некоторую цель, к которой следует стремиться, а во-вторых, многие из обозначенных пунктов можно реализовать в усеченном варианте.
Раздел 3. Охрана труда и техника безопасности
3.1 Анализ и идентификация опасных и вредных факторов Обеспечение безопасности рабочего места человека в значительной степени зависит от правильной оценки опасных и вредных производственных факторов и удовлетворению их санитарным нормам и правилам.
Опасный фактор — это производственный фактор, воздействие которого на работающего человека в определенных условиях приводит к травме или резкому ухудшению здоровья (электрический ток, ионизирующие излучения и т. д.). Вредный фактор — это фактор, воздействие которого на работающего человека в определенных условиях, приводит к заболеванию или снижению работоспособности. В зависимости от уровня и продолжительности воздействия вредный фактор может стать опасным (ГОСТ 12.0.003−80). Для оценки негативных факторов, влияющих на человека во время работы, необходимо проанализировать рабочее место оператора, а также его взаимодействие с машиной. Работа с вычислительной техникой по вредности относится к безопасным (риск смерти на человека в год составляет менее 0.0001). Тяжесть труда у операторов также минимальна, так как уровень психической нагрузки по этому роду деятельности предусматривает энергозатраты 2000…2400 ккал в сутки. Однако оператор при работе с вычислительной техникой может подвергаться воздействию комплекса неблагоприятных факторов, обусловленных характером производственного процесса.
3.1.1 Требования безопасности труда к помещениям
Размеры помещения (площадь, объем) должны в первую очередь соответствовать количеству работающих и размещенному в них комплексу технических средств. Для обеспечения нормальных условий труда санитарные нормы устанавливают на одного работающего объем производственного помещения не менее 20 м3, а площадь помещения не менее 6 м2 на человека с учетом максимального числа одновременно работающих в смену.
Так как площадь рассматриваемого помещения составляет 50 м2, объем помещения — 200 м3, а максимальное число одновременно работающих (тестируемых специалистов) — 10 человек, то на одного работающего приходится площадь 5 м2 и объем производственного помещения — 20 м3. Эти значения соответствуют требуемым параметрам.
Рисунок 7. Схема рабочего кабинета
3.1.2 Требования к микроклимату Условия среды помещений, определяются действующими на организм человека сочетаниями температуры, влажности и скорости движения воздуха и теплового облучения.
Допустимые параметры, определяющие условия труда на рабочем месте, могут вызывать переходящие и быстро нормализующиеся изменения функционального и теплового состояния организма и напряжение реакции терморегуляции, не выходящие за пределы физиологической приспособленности организма, не создающие нарушений состояния здоровья, но вызывающие дискомфортные ощущения, ухудшение самочувствия и снижение работоспособности.
Концентрация пыли в воздухе составляет не более 0,5 мг/м3.
Условия труда на рабочем месте определяют оптимальные и допустимые параметры для рабочей зоны производственных помещений (то есть для пространства высотой до 2 м над уровнем пола).
Выполняемые на рабочем месте работы относятся к категории легких физических с затратой энергии до 120 Ккал/ч (категория I), а рассматриваемое помещение — к помещениям с незначительными избытками явной теплоты (до 23 Вт/м2). Оптимальные параметры микроклимата приведены в таблице 1.
Таблица 1. Оптимальные нормы температуры, влажности и скорости движения воздуха в рабочей зоне производственных помещений
Период года | Категория работ | Температура, °С | Влажность, % | Скорость воздуха, м/с не более | |
Холодный | I | 21−24 | 60−40 | 0,1 | |
Теплый | I | 22−25 | 60−40 | 0,1; 0,2 | |
Для обеспечения микроклиматических условий труда в помещении имеется система отопления и вентиляции, что обеспечивает поддержание оптимальных условий труда на рабочем месте.
3.1.3 Анализ освещённости Условия деятельности операторов в системе «человек — машина» связаны с явным преобладанием зрительной информации — до 90% общего объёма. Вредными факторами здесь являются недостаток освещения рабочих поверхностей (стола, клавиатуры), избыточная яркость источников света, резкие перепады света и тени, утомляющие глаз постоянной адаптацией, мерцание и цветовая неравномерность света, снижающая возможность правильного различения цветов. Освещение является одним из важнейших условий нормальной жизнедеятельности. Правильно устроенное освещение обеспечивает хорошую видимость и создает благоприятные условия труда. Неудовлетворительное освещение вызывает преждевременное утомление, притупляет внимание работающего, снижает производительность труда, ухудшает качественные показатели и может оказаться причиной несчастного случая. Неудовлетворительное освещение в течение длительного времени может также привести к ухудшению зрения. Освещение характеризуется количественными и качественными показателями. К количественным показателям относятся:
1) световой поток,
2) сила света,
3) освещенность,
4) яркость.
Для качественной оценки условий зрительной работы используют такие показатели как:
1) фон,
2) контраст объекта с фоном,
3) коэффициент пульсации освещенности,
4) показатель освещенности,
5) спектральный состав света.
Основные требования, предъявляемые к производственному освещению:
1) соответствие освещенности характеру зрительной работы (то есть соответственное увеличение освещенности рабочих поверхностей);
2) достаточно равномерное распределение яркости (для того, чтобы глазам не приходилось переадаптироваться);
3) отсутствие резких теней на рабочей поверхности (уменьшает утомление зрения);
4) отсутствие блесткости (слепящего действия света);
5) постоянство освещенности во времени;
6) обеспечение электро-, взрывои пожаро-безопасности.
Эти требования могут быть соблюдены при правильном выборе типа и системы производственного освещения, которые подразделяются на:
1) естественное (дневной свет);
2) искусственное (электрические источники);
3) смешанное (естественное дополняет искусственное, что является наиболее экономичным и разумным);
4) общее (вся территория; равномерно);
5) комбинированное (локально, обособленные рабочие поверхности);
6) аварийное (при недопущении перерывов в работе);
7) эвакуационное (в местах эвакуации и повышенного травматизма).
3.1.4 Анализ электробезопасности Электробезопасность — это система организационных и технических мероприятий и средств, обеспечивающих защиту людей от вредного воздействия электричества, электрической дуги и статического электричества.
Опасное и вредное воздействие на людей электрического тока, электрической дуги, электромагнитных полей проявляются в виде электротравм и профессиональных заболеваний. Нормы на допустимые токи и напряжения прикосновения в электроустановках должны устанавливаться в соответствии с предельно допустимыми уровнями воздействия на человека токов и напряжений прикосновения и утверждаться в установленном порядке по ГОСТ 12.1.038−82 (2001) «Предельно допустимые значения напряжения прикосновения и токов». Поражение человека электрическим током может произойти при прикосновениях: к токоведущим частям, находящимся под напряжением; отключенным токоведущим частям, на которых остался заряд или появилось напряжение в результате случайного включения; металлическим нетоковедущим частям электроустановок после перехода на них напряжения с токоведущих частей.
Характер и последствия поражения человека электрическим током зависят от ряда факторов, в том числе и от электрического сопротивления тела человека, величины и длительности протекания через него тока, рода и частоты тока, схемы включения человека в электрическую цепь, состояния окружающей среды и индивидуальных особенностей организма. Действие электрического тока на живую ткань в отличие от других материальных факторов носит своеобразный и разносторонний характер. Проходя через организм, электрический ток производит действия [20]:
1) термическое;
2) электролитическое;
3) биологическое;
4) механическое.
Первое проявляется в нагреве тканей, вплоть до ожогов отдельных участков тела, перегрева кровеносных сосудов и крови, что вызывает в них серьезные функциональные нарушения. Второе вызывает разложение крови и плазмы, значительные нарушения их физико-химических составов и тканей в целом. Третье выражается в раздражении и возбуждении живых тканей организма, что может сопровождаться непроизвольными судорожными сокращениями мышц, в том числе мышц сердца и легких. При этом могут возникнуть различные нарушения в организме, включая нарушение и даже полное прекращение деятельности сердца и легких, а также механических повреждений тканей. Четвертое может выражаться в разрыве тканей. Характер воздействия тока зависит от его силы. Любое воздействие тока на человека может привести к электротравме. Электротравмы делятся на два вида:
1) местные;
2) электроудары.
Важное значение для предотвращения электротравматизма имеет правильная организация обслуживания действующих электроустановок, проведение ремонтных, монтажных и профилактических работ. В зависимости от категории помещения необходимо применять определенные защитные меры, обеспечивающие достаточную электробезопасность при эксплуатации, техническом обслуживании и ремонте. В помещениях с повышенной опасностью электроприборы, переносные светильники должны быть выполнены с двойной изоляцией или напряжение питания не должно превышать 42 В. Основными техническими средствами, обеспечивающими безопасность работ в электроустановках согласно ГОСТ Р 51 330.16−99, являются:
1) защитное заземление;
2) зануление;
3) изоляция;
4) изолированные электрозащитные средства;
5) электрическое разделение сети;
6) малое напряжение;
7) двойная изоляция.
3.1.5 Анализ шума Другой вредный фактор, влияющий на работу оператора и программиста при работе с компьютером — шум. Основным источником шума являются печатающие устройства, множительная техника и установки для кондиционирования воздуха, а также вентиляторы систем охлаждения и трансформаторы, которые находятся в офисном помещении в большом количестве и часто используются сотрудниками в процессе планирования отказа насосного оборудования.
Шум — сочетание различных по частоте и силе звуков. Одни из них постоянны и действуют в течение всего рабочего дня, другие случайны. Повышенный уровень шума отрицательно влияет в первую очередь на центральную нервную и сердечно-сосудистую системы. Производственный шум затрудняет прием и передачу информации, вызывает обычную усталость, снижается способность сосредоточения внимания. По «Санитарным правилам и нормам» уровень шума не должен превышать 50 дБА. Нормированные уровни шума обеспечиваются при использовании малошумного оборудования, применения звукопоглощающих материалов для облицовки помещений, а также различных звукопоглощающих устройств. Существует два метода нормирования производственного шума. Нормирование по уровню звукового давления — это основной метод нормирования для постоянных шумов. Здесь нормируются уровни звукового давления в октавных полосах со среднегеометрическими частотами (63, 125, 250, 500 …8000Гц). Совокупность 8 допустимых уровней звукового давления называется предельным спектром. Метод нормирования по уровню звука используется для ориентировочной оценки постоянного и непостоянного шума, в этом случае мы не знаем спектр шума. Уровень звука связан с предельным спектром зависимостью LА=ПС+5. Для тонального и импульсного шумов допустимые уровни должны приниматься на 5 Дб меньше, чем для постоянных. Допустимая доза шума — это доза, соответствующая допустимому уровню звука или допустимому эквивалентному уровню звука. Для непостоянных шумов нормируемым параметром является эквивалентный по энергии уровень звука постоянного широкополосного не импульсного шума. Мероприятия по борьбе с шумом: строительно-планировочные, конструктивные, снижение шума в источнике его возникновения, организационные мероприятия. Наиболее эффективным методом защиты является борьба с шумом в источнике его возникновения. Для уменьшения механического шума необходимо своевременно проводить ремонт оборудования, заменять ударные процессы на безударные, шире применять принудительное смазывание трущихся поверхностей. Электромагнитные шумы снижают конструктивными изменениями в электрических машинах. Широкое применение получили средства снижения шума на пути его распространения с помощью установки звукоизолирующих и звукопоглощающих преград в виде экранов, перегородок, кожухов, кабин, облицовки стен, потолков, использование глушителей и др. Экраны устанавливают между источником шума и рабочим местом. Акустический эффект экрана основан на образовании за ним области тени, куда звуковые волны проникают лишь частично. Степень проникновения зависит от соотношения между размерами экрана и длиной волны: чем больше длина волны, тем меньше при данных размерах область тени, тем меньше снижение шума. Глушители шума применяются в основном для уменьшения шума различных аэродинамических установок и устройств. Метод изменения направления излучения шума. Он применяется при проектировании установок с направленным шумом, состоит в соответствующей ориентации установок по направлению к рабочим местам. В помещении, рассматриваемом в данной дипломной работе уровень шума соответствует нормам.
3.1.6 Ионизация воздуха Воздух в помещениях, где находятся люди и вычислительная техника, насыщен положительно заряженными ионами кислорода. Однако ещё в 30-е годы русский биофизик, профессор А. Л. Чижевский впервые в мире на большом экспериментальном и клиническом материале доказал необходимость для жизнедеятельности организма отрицательно заряженного кислорода воздуха.
Невыполнение этого требования приводит к ухудшению здоровья, угнетению нервной системы, наступает гипоксия (недостаток кислорода) в крови, направляемой в наиболее загруженные органы (прежде всего в мышцы глаз и мозг). Повышается вероятность сердечно-сосудистых заболеваний, так как увеличивается нагрузка на сердце. В связи с этим необходимо насыщать воздух в помещении отрицательно заряженными ионами кислорода, чтобы превращать «мёртвый» воздух в «живой» (как в лесу, на море).
Согласно «Санитарно-гигиеническим нормам допустимых уровней ионизации воздуха производственных и общественных помещений» величины ионизации воздушной среды должны соответствовать нормативным (таблица 2).
Таблица 2. Уровни ионизации воздуха помещений при работе на ПЭВМ
Уровни | Число ионов в 1 см куб. воздуха | ||
п+ | п; | ||
Минимально необходимый | |||
Оптимальный | 1500…3000 | 30 000…50 000 | |
Максимально допустимый | |||
В рабочих помещениях измерения ионизации воздуха не проводились, рекомендуется их проведение. Требования и нормативы см. в СанПиН 2.2.4.1294−03.
В случае отклонений от нормативных требований в соответствии с «Санитарно-гигиеническим нормами допустимых уровней ионизации воздуха производственных и общественных помещений» для нормализации ионного режима воздушной среды необходимо использовать следующие способы и средства:
1) приточно-вытяжную вентиляцию;
2) удаление рабочего места из зоны с неблагоприятным уровнем ионизации;
3) групповые и индивидуальные ионизаторы;
4) устройства автоматического регулирования ионного режима воздушной среды.
3.1.7 Анализ электромагнитного излучения К числу вредных факторов, с которыми сталкивается человек, работающий за монитором, относится электромагнитное излучение, а также электростатическое поле. Допустимые значения параметров излучений, генерируемых видеомониторами. Параметры, допустимые значения, мощность экспозиционной дозы рентгеновского излучения на расстоянии 0,05 м вокруг видеомонитора 100 мкР/час. Электромагнитное излучение на расстоянии 0,5 м вокруг видеомонитора по электрической составляющей: в диапазоне 5 Гц-2 кГц 25 В/мв диапазоне 2−400 кГц2,5 В/м; по магнитной составляющей: в диапазоне 5 Гц-2 кГц 250 нТл в диапазоне 2−400 кГц 25 нТл. Поверхностный электростатический потенциал не более 500 В.
Благодаря существующим достаточно строгим стандартам дозы рентгеновского излучения от современных видеомониторов не опасны для большинства пользователей. Исключение составляют люди с повышенной чувствительностью к нему (в частности, рентгеновские излучения от монитора опасны для беременных женщин, поскольку могут оказать неблагоприятное воздействие на плод на ранних стадиях развития). Специалисты не пришли к однозначному выводу относительно воздействия электромагнитного излучения на организм человека, однако совершенно очевидно, что уровни излучения, фиксируемые вблизи монитора, опасности не представляют. При работе монитора возникает и электростатическое поле. Уровни его напряженности невелики и не оказывают существенного воздействия на организм человека в отличие от более высоких уровней электростатического поля, характерных для промышленных условий. Более значимой для пользователей является способность заряженных микрочастиц адсорбировать пылинки, тем самым препятствуя их оседанию и повышая дополнительный риск аллергических заболеваний кожи, глаз, верхних дыхательных путей.
3.2 Мероприятия по обеспечению безопасности и экологичности условий труда Расчет искусственного освещения Естественное освещение осуществляется за счет одного окопного проема, размером 2,7×2,4 м. площадью 6,48 м2. Рассчитаем параметры искусственного освещения. Схема расположения источников искусственного освещения представлена на рисунке 1
Освещение — общее равномерное, поскольку место расположения поверхностей может быть изменено.
Метод расчета освещения — метод светового потока.
Размер помещения: длина 8 м, ширина 6,25 м, высота 4 м, Площадь 20 м2. Коэффициент отражения потолка — 70%, коэффициент отражения стен — 50%.
В соответствии с СанПиН 2.2.2/2.4.1340−03 работу социального рабочего можно отнести к работе с малой точностью (наименьший размер объекта различения от 1 до 5мм) V-ого разряда зрительной работы. Согласно СанПиН 2.2.2/2.4.1340−03 назначается норма освещенности — Ен должна быть в пределах 300 — 500 лк.
Тип лампы — ЛН (лампа накаливания). Количество и месторасположение светильников задано конструктивными особенностями помещения (количество 9); месторасположение равномерно по всей площади потолка). Светильники каждый с одной лампой, мощностью 100 Вт каждая.
Рассчитаем коэффициент использования светового потока:
· коэффициент отражения потолка 70%;
· коэффициент отражения стен 50%;
· индекс помещения
(1)
где Hp — высота подвеса светильника над рабочей поверхностью = 2,3 м;
А — длина помещения = 8 м;
В — ширина помещения = 6,25 м.
· коэффициент использования светового потока — 0,6;
· коэффициент запаса для лампы накаливания — 1,4.
· величина светового потока для одной лампы накаливания мощностью 100 Вт — 1380 лм.;
· коэффициент неравномерности освещения, для ламп накаливания — 1,15;
Рассчитаем величину освещенности по формуле:
(2)
где Е — освещенность, лк;
Ф — световой поток светильника;
S — площадь освещаемого помещения, м2;
Z — коэффициент неравномерности освещения;
КЗ — коэффициент запаса;
G — коэффициент затенения 0,9;
N — количество светильников — 9;
t — коэффициент использования светового потока лампы.
Таким образом, освещенность кабинета рабочего не соответствует нормативному значению, и следует увеличить количество светильников.
Требования пожарной безопасности
Пожар — это неконтролируемое горение, развивающееся во времени и пространстве. Понятие пожарной безопасности означает состояние объекта, при котором с установленной вероятностью исключается возможность возникновения и развития пожара с воздействием на людей опасных факторов, а также обеспечивается защита материальных ценностей. Опасными факторами пожара для людей являются:
* открытый огонь;
* повышенные температуры воздуха и предметов;
* токсичные продукты горения;
* дым;
* пониженная концентрация кислорода;
* взрыв и т. д.
Все помещения по пожарной и взрывоопасности делятся на пять категорий:
* А, Б — взрывопожароопасные;
* В, Г, Д — пожароопасные.
Данное помещение относится к категории В — горючие и трудно горючие помещения, в которых в обращении имеются жидкости, твердые, горючие и трудно горючие вещества и материалы, способные при взаимодействии с кислородом воздуха или друг другом только гореть, при условии что помещения, в которых они находятся, не относятся к категориям, А и Б.
При подходе к обеспечению пожарной безопасности особое внимание следует уделять наличию токоведущей проводки в помещении. Данная проводка должна быть выполнена согласно требований ГОСТ 9098, данное требование соблюдения условий пожарной безопасности вызвано тем фактом, что согласно статистическим данным 85% всех пожаров происходит именно по причине не качественно выполненной проводки.
Противопожарная профилактика:
* Наличие двух ручных порошковых огнетушителей, марки ОП-2М, предназначенных для тушения загорания с расстояния 2 м, при температуре 40−50 °С. Огнетушители хранятся в защищенном от солнечных лучей и нагревательных приборов месте, хорошо доступном при возникновении возгорания;
* Для отопления помещений используется центральное водяное отопление;
* Установлена система электрической пожарной сигнализации, два тепловых пожарных излучателя реагируют на повышение температуры окружающей среды до значения 80 °C и выше в радиусе 3 м. Для помещений вычислительных центров рекомендуется использовать тепловые пожарные излучатели типа ДТЛ, АТП-ЗМ и др.;
* Помещение расположено в здании таким образом, что имеется как минимум два пути эвакуации, один из которых не может быть перекрыт огнем — пожарная лестница.
Эргономические требования Персональный компьютер типа IBM PC спроектирован с учетом необходимых для работы эргономических требований:
* имеется возможность поворота дисплея в горизонтальной и вертикальной плоскостях.
* нет жесткой связи клавиатуры с дисплеем.
* существует возможность регулировки яркости и контрастности на дисплее.
* обеспечивается удобное расположение кнопок на панели компьютера.
* клавиатура обеспечивает удобный угол наклона к поверхности стола — 150.
* мягкость нажатий клавиш на клавиатуре.
* принтер HP 1100 также удовлетворяет ряду эргономических требований:
* красивое оформление и окраска мягкого цвета.
* удобное расположение кнопок управления.
* простота и удобство смены картриджа;
* небольшие мускульные усилия при работе.
Рабочие места оборудованы легкими стульями, что соответствует требованиям. Высота сиденья не регулируется, что допускается нормами.
Рабочий стол оператора имеет габариты: длина 1,25 м; ширина 0,7 м; высота 0,8 м, что соответствует требованиям ГОСТ 12.2.031−78. Высота поверхности не регулируется, что также допускается нормами.
Вышеперечисленные характеристики обеспечивают минимальные затраты мускульной и нервной энергии оператора.
Также обеспечивается рациональный режим труда и отдыха, установленный с учетом психофизической напряженности труда, динамики функционального состояния систем организма и работоспособности, кроме того предусматривается строгое соблюдение регламентированных перерывов.
Для поддержания нормальной работоспособности работников рекомендуется продолжительность работы с монитором не более 50% рабочего времени, при этом время непрерывной работы не более 1,5−2 часов; время перерыва — 15 мин.; и также время перерыв на обед — 40 мин. Все вышеперечисленные мероприятия по режиму работы и отдыха соблюдаются.
Рациональное цветовое оформление помещения направлено на улучшение санитарно-гигиенических условий труда, повышения его производительности и безопасности. Окраска производственных помещений влияет на нервную систему человека, его настроение, а также играет важную роль при организации системы освещения. Окраска стен не раздражает глаз и гармонирует с цветом технических средств.
Выводы по разделу В третьем разделе дипломной работы говорится об охране труда и технике безопасности. Обеспечение безопасности рабочего места человека в значительной степени зависит от правильной оценки опасных и вредных производственных факторов и удовлетворению их санитарным нормам и правилам. Проанализировав выше перечисленное можно сделать следующие выводы:
1) Размеры помещения соответствуют количеству работающих и размещенному в них количеству технических средств.
2) Относительно температуры, влажности, скорости движения воздуха и теплового движения можно сказать, что все соответствует нормам, имеются кондиционеры, хорошо работает вентиляция.
3) Что касается освещенности, то недостаток освещения имеется, необходимо дополнительно установить источники света. Освещенность не соответствует нормам.
4) Относительно электробезопасности, электромагнитных полей соблюдены все стандарты и правила техники безопасности (заземление, зануление, изоляция и т. п.)
5) Произведя анализ шума можно сказать, что он является удовлетворительным, т.к. бытовая техника и кондиционеры иногда создают легкий шум, недостаточная изоляция.
6) Соблюдены требования пожарной безопасности. Постоянно проводится влажная уборка и проветривание помещений.
Заключение
безопасность интернет сетевой архитектура
Эффективное развитие рыночных отношений тесно взаимосвязано с организацией информационных служб на предприятиях, т.к. успешная деятельность предприятия невозможна без информационного обеспечения. Информация позволяет ориентироваться в общей обстановке, уменьшить финансовый риск, следить за внешней средой, рынком, оценивать свою деятельность, вырабатывать и корректировать стратегию предприятия.
Сегодня вопрос об организации информационной безопасности волнует организации любого уровня — начиная с крупных корпораций, и заканчивая предпринимателями без образования юридического лица. Конкуренция в современных рыночных отношениях далеко от совершенства и часто ведется не самыми легальными способами. Процветает промышленный шпионаж. Но нередки и случаи непреднамеренного распространения информации, относящейся к коммерческой тайне организации. Как правило, здесь играет роль халатность сотрудников, непонимание ими обстановки, иными словами, «человеческий фактор».
В дипломной работе представлены рекомендации по совершенствованию комплексной системы защиты информации в ТОО «Promo Park». Данные рекомендации затрагивают три основные сферы организации безопасности:
1. документационная сфера (доступ к материалам, представленным на бумажных носителях, с разграничением этого доступа);
2. компьютерная безопасность;
3. безопасность в плане приема на работу новых сотрудников. Следует учитывать, что хоть данный проект и разработан под конкретную организацию, его положения могут использоваться и для организации безопасности в других фирмах, относящихся к разряду средних.
Разработанные рекомендации позволяют более грамотно подойти к вопросам информационной безопасности. Те схемы, которые были в процессе работы составлены по информационным потокам, архитектуре серверов и т. д. одновременно модернизировались сотрудниками компании и были улучшены как по техническим характеристикам, так и с точки зрения оптимальности расположения узлов, достижения наивысшей скорости передачи данных, обеспечения безопасности.
1) Беляев А. В. Методы и средства защиты информации. Курс лекций. — М, 2005. — 350с.
2) Голубев В. В. Вычислительная техника и её применение. — М, 2007. — 200с.
3) Спесивцев А. В. Защита информации в персональных ЭВМ. — М, 2007. — 345с.
4) Чекатков А. А. Методы и средства защиты информации. М.: Юниор, 2003. — 428с.
5) Герасименко В. А. Основы защиты информации: Учеб. для вузов по специальности «Орг. и технология защиты информ. /В.А. Герасименко, А. А. Малюк; Моск. гос. инж. -физ. ин-т (техн. ун-т). — М.: Б.И., 2003. — 621с.
6) Лукацкий А. В. Обнаружение атак/А. В. Лукацкий. — СПб. и др.: БХВ-етербург, 2005.-421с.
7) Сабынин В. В. Защита информации в выделенных помещениях. Информост-радиоэлектроника и телекоммуникации, № 1 (19), 2005.
8) Степанов Е. А., Корнеев И. К. Информационная безопасность и защита информации: Учеб. пособие для вузов по специальности «Документоведение и документацион. обеспечение упр. «. — М.: ИНФРА-М, 2006. — 320с.
9) Агеев А. С. Организация работ по комплексной защите информации. — К., 2006.-450с.
10) Андрианов В. И. Шпионские штучки и устройства для защиты объектов и информации.- СПб., 2005. — 455с.
11) Киселев А. Е. Коммерческая безопасность — М., 2005. — 362с.
12) Ковалев А. Н. Защита информации: правила и механизм лицензирования. — К., 2005.-460с.
13) Максимов Ю. Н. Защита информации в системах и средствах информатизации и связи. — СПб., 2005. — 502с.
14) Мельников В. Защита информации в компьютерных системах. — М., 2005, 423с.
15) Ярочкин В. И. Технические каналы утечки информации. — М., 2005
16) Безопасность жизнедеятельности. под. ред. А. И. Сидорова. М: КНОРУС, 2007.-496с.
17) Охрана труда. Денисенко О. В. — М: Просвещение, 1985. — 319с.
18) Безопасность жизнедеятельности: безопасность технологических процессов и производств. Кукин П. П., В. Л. Лапин — М: высшая школа, 2004.-319с.
19) Охрана труда. Стула М. Б. — М: Просвещение, 1989. — 272с.
20) Основы безопасности жизнедеятельности. Хван Т. А., Хван П. А. Ростов — на — Дону: «Феникс», 2000. — 384с.
21) Безопасность жизнедеятельности. Русак О. Н., Малаян К. Р., Занько Н. Г. СПб, 2002. — 448с.