Совершенствование системы информационной безопасности на предприятии ЗАО «Новомет-Пермь», г. Пермь
Сотрудники — важнейший элемент системы безопасности. Они могут сыграть значительную роль в защите коммерческой тайны, но в то же время могут быть и основной причиной ее утечки. Часто это случается по причине невнимательности, неграмотности. Поэтому регулярное и доходчивое обучение персонала вопросам секретности является важнейшим условием сохранения тайны. Однако нельзя исключать случаи… Читать ещё >
Совершенствование системы информационной безопасности на предприятии ЗАО «Новомет-Пермь», г. Пермь (реферат, курсовая, диплом, контрольная)
Министерство сельского хозяйства РФ
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
«Пермская государственная сельскохозяйственная академия
имени академика Д. Н. Прянишникова"
Кафедра: Информационных технологий и автоматизированного проектирования
КУРСОВОЙ ПРОЕКТ
по дисциплине «Информационная безопасность»
на тему: «Совершенствование системы информационной безопасности на предприятии ЗАО «Новомет — Пермь», г. Пермь
Проект выполнил:
Студент 4 курса Сайдашева Юлия Наифовна
Руководитель:
к.э.н., доцент Глотина И.М.
Пермь 2015
Время, в котором мы живем, с полным основанием можно назвать «информационным веком». Уже невозможно представить себе современное общество без персональных компьютеров, глобальной сети Интернет, других многих сотен и тысяч приложений информационных технологий, радикально преобразивших жизнь человека и общества. Однако, как уже было в истории человечества не один раз, новые знания и открытия породили и новые проблемы. Широкое распространение современных информационных технологий, в частности в экономической области, развитие глобальных коммуникаций привело к тому, что к информационным технологиям получили доступ и асоциальные, и преступные элементы. Возникли новые виды посягательств на права граждан, организаций, государства, общества в целом, основанные на несанкционированном доступе к информации, ее искажении, хищении, уничтожении, а также несанкционированном распространении информации, с одной стороны, либо блокированию планомерного доступа к ней, с другой стороны.
Деятельность любой организации в наше время связана с получением и передачей информации. Информация является сейчас стратегически важным товаром. Потеря информационных ресурсов или завладение секретной информацией конкурентами, как правило, наносит предприятию значительный ущерб и даже может привести к банкротству.
Проблематику информационной безопасности было бы неправильно сводить только к криминальному аспекту. Сегодня проблема обеспечения информационной безопасности достигла во всем мире такой значимости, что ею занимаются первые лица крупнейших государств мира. Следует отметить, что и в Российской Федерации проблема информационной безопасности вошла в круг проблем, которыми занимаются непосредственно Президент и Правительство Российской Федерации.
В данном курсовом проекте рассмотрено промышленное предприятие ЗАО «Новомет-Пермь». Основной задачей предприятия является производство нефтепогружного оборудования. Предприятие не только создает полнокомплектные установки (УЭЦН) для нефтедобычи и водоподъема, но и занимается сопровождением своего оборудования, обеспечивая его комплексный сервис — от подбора к скважине до капитального ремонта.
Актуальность данного проекта обоснована тем, что вопросы защиты информации для предприятия являются наиболее важными.
Цель данной работы анализировать и совершенствовать стратегию информационной безопасности предприятия в виде системы эффективных политик, которые определяли бы эффективный и достаточный набор требований безопасности.
Для достижения данной цели необходимо выполнить ряд задач:
· анализ объектов защиты;
· анализ действующей системы информационной безопасности на предприятии;
· выявление недостатков информационной безопасности;
· выявление угроз информационной безопасности;
· разработка рекомендаций по исправлению выявленных недостатков.
1. Анализ системы информационной безопасности на предприятии
1.1 Характеристика предприятия
Группа компаний «Новомет» — один из крупнейших холдингов в России, занимающийся производством нефтепогружного оборудования. Предприятие не только создает полнокомплектные установки (УЭЦН) для нефтедобычи и водоподъема, но и занимается сопровождением своего оборудования, обеспечивая его комплексный сервис — от подбора к скважине до капитального ремонта.
1.2 Анализ информационной безопасности предприятия
Любая организация вне зависимости от размеров и вида деятельности имеет достаточные объемы информации, которая должна быть защищена и недоступна для несанкционированного доступа.
Под угрозой безопасности вычислительной системы понимаются воздействия на систему, которые прямо или косвенно могут нанести ущерб ее целостности. Таким образом, перед защитой систем обработки информации стоит довольно сложная задача — противодействие развивающимся угрозам безопасности.
Проблемы информационной безопасности решаются, как правило, посредством создания специализированных систем защиты информации, которые должны обеспечивать безопасность информационной системы от несанкционированного доступа к информации и ресурсам, несанкционированных и непреднамеренных вредоносных воздействий.
Система защиты является инструментом администраторов сети, выполняющих функции по обеспечению защиты информационной системы и контролю ее защищенности такие как:
· Диагностика и оценка состояния компьютерной техники;
· Ремонт, модернизация и приобретение нового компьютерного оборудования;
· Установка, настройка и обслуживание программного обеспечения;
· Обеспечение антивирусной защиты и безопасности локальной сети;
· Переустановка компьютерных систем и восстановление утерянной информации;
· Резервное копирование информации;
· Консультации пользователей и помощь при работе с программным обеспечением;
· Настройка локальной сети и обеспечение ее оптимального функционирования;
· Помощь пользователям при работе в сети Интернет и с локальной сетью.
ЗАО «Новомет — Пермь» имеет обширные вычислительные ресурсы. В Центре имеется разветвленная локальная вычислительная сеть (ЛВС), в которую объединяются все рабочие. Организовано общее информационное пространство между отделами, которое организовано в едином доменном и адресном пространстве.
Возможности ЛВС имеют высокую пропускную способность (Fast Ethernet). В качестве основного сетевого оборудования используются коммутатор фирмы D-Link и кабеля UTP.
Таким образом, обеспечиваются технические возможности для коммуникации и организации работы всех отделов.
Ядром системы является централизованная база данных, функционирующая под управлением СУБД Microsoft SQL Server.
2. Внутренний контроль и управление рисками
Обеспечение эффективности и постоянное совершенствование системы внутреннего контроля и управления рисками является одним из наиболее приоритетных направлений деятельности ЗАО «Новомет — Пермь». Данная система призвана отслеживать и своевременно предупреждать внутренние и внешние риски, влияющие на достижение стратегических и операционных целей Общества. Ее основными целями являются:
1. Совершенствование системы корпоративного управления Общества для обеспечения разумной уверенности в соблюдении интересов и прав акционеров и инвесторов Общества (эффективное и результативное использование ресурсов Общества, сохранность активов, комплайенс-контроль, а также достоверность, объективность управленческой и бухгалтерской (финансовой) отчетности и надежность системы их подготовки).
2. Повышение эффективности и результативности деятельности Общества по реализации стратегии развития Общества за счет функционирования системы управления рисками и внедрения эффективных контрольных процедур.
3. Содействие своевременной адаптации деятельности Общества к изменениям внешней и внутренней среды.
Принципы функционирования, процессы и процедуры Системы внутреннего контроля и управления рисками (СВКиУР) ЗАО «Новомет — Пермь» регламентируются следующими внутренними документами:
· Политика управления рисками ЗАО «Новомет — Пермь» (утверждена решением Совета директоров Протокол № 70 от 04.06.2010);
· Политика внутреннего контроля ЗАО «Новомет — Пермь» (утверждена решением Совета директоров, Протокол № 110 от 08.08.2012).
В рамках реализации указанных документов утверждены:
· Положение о контрольной среде и рисках бизнес-процесса «Коммерческий учет и реализация услуг по передаче электроэнергии» (утверждено решением Совета директоров, протокол № 85 от 01.06.2011 г.).
· Положение о контрольной среде и рисках бизнес-процесса «Эксплуатационная деятельность» (утверждено решением Совета директоров, протокол № 85 от 01.06.2011 г.).
· Положение о контрольной среде и рисках бизнес-процесса «Реализация услуг по технологическому присоединению» (утверждено решением Совета директоров, протокол № 89 от 05.08.2011 г.).
Кроме того, с целью определения подходов и методов выявления, оценки рисков и их минимизации на всех уровнях корпоративного управления Приказом ЗАО «Новомет — Пермь» № 229 от 26.07.2011 г. утверждены Методические рекомендации по управлению рисками.
В соответствии с утвержденными локальными нормативными актами по совершенствованию СВКиУР в процессы управления рисками и внутреннего контроля вовлечены руководители и специалисты всех уровней управления ЗАО «Новомет — Пермь»: как на уровне исполнительного аппарата, так и филиалов Общества. Совет директоров Общества определяет необходимый уровень развития и направления развития Системы управления рисками и внутреннего контроля. Комитет по аудиту при Совете Директоров осуществляет оценку эффективности СВКиУР (в том числе на основании сообщений и отчетов ДВАиУР Общества), проводит анализ финансовой (бухгалтерской) отчетности, а также участвует в выработке рекомендаций по существенным вопросам финансово-хозяйственной деятельности. Генеральный директор организует эффективное функционирование СВКиУР, обеспечивает реализацию процедур внутреннего контроля и несет ответственность за их выполнение. ДВАиУР производит непосредственную оценку адекватности, достаточности и эффективности процедур внутреннего контроля, осуществляет координацию процессов управления рисками, организует внедрение системы внутреннего контроля по бизнес-процессам, а также оценивает соответствие совершенных финансово-хозяйственных операций действующему законодательству и интересам акционеров. Структурные подразделения Общества в пределах своей компетенции осуществляют выявление и оценку рисков, мониторинг, разработку и исполнение мероприятий по их минимизации, а также осуществляют исполнение контрольных процедур.
В дальнейшем планируется продолжение работы в области совершенствования СВКиУР с переходом от «стандартизированного» к «оптимизированному» уровню зрелости СВКиУР по остальным бизнес-процессам, а также автоматизации контрольных процедур и процессов управления рисками. Совершенствование нормативной базы по СВКиУР будет осуществляться с учетом накопленного опыта, а также лучшей российской и зарубежной практики.
К ключевым рискам относится:
1. Нерегулярное резервное копирование базы данных предприятия.
Последствия: потеря данных о работе предприятия.
2. Нерегулярное обновление базы антивируса и сканирование рабочих станций.
Последствия: появление в системе вирусных программ, вредоносного программного обеспечения.
3. Хранение документов на бумажных носителях на рабочих столах сотрудников.
Последствия: угроза конфиденциальности информации.
4. Отсутствие камер видеонаблюдения.
Последствия: кража оборудования.
5. Хакерские атаки.
Последствия: перехват и изменение информации.
3. Информационная безопасность предприятия Безопасность — состояние защищенности жизненно важных интересов личности, общества, государства от внешних и внутренних угроз.
Информационная безопасность — это процесс обеспечения конфиденциальности, целостности и доступности информации.
Конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.
Целостность: Обеспечение достоверности и полноты информации и методов ее обработки.
Доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
Угроза безопасности — совокупность условий, факторов, создающих опасность жизненно важным интересам личности, общества и государства.
Под угрозой информационной безопасности автоматизированных систем понимается возможность реализации воздействия на информацию, обрабатываемую в автоматизированной системе, приводящего к искажению уничтожению, копированию, блокированию доступа к информации, а также возможность воздействия на компоненты автоматизированной системы, приводящего к утрате, уничтожению или сбою функционирования носители информации, средства взаимодействия с носителем или средства его управления.
Угрозы безопасности информации современных системах ее обработки, обусловлены:
· случайными и преднамеренными разрушающими и искажающими воздействиями внешней среды;
· степенью надежности функционирования средств обработки информации;
· преднамеренными корыстными воздействиями несанкционированных пользователей, целью которых является хищение, разглашение, уничтожение, разрушение, несанкционированная модификация и использование обрабатываемой информации;
· непреднамеренными, случайными действиями обслуживающего персонала и др.
По способам воздействия на объекты информационной безопасности угрозы, актуальные для общества, подлежат следующей классификации: информационные, программные, физические, организационно-правовые.
К информационным угрозам относятся:
· несанкционированный доступ к информационным ресурсам;
· хищение информации из архивов и баз данных;
· противозаконный сбор и использование информации.
К программным угрозам относятся:
· компьютерные вирусы и вредоносные программы.
К физическим угрозам относятся:
· уничтожение или разрушение средств обработки информации и связи;
· хищение носителей информации;
· воздействие на персонал.
К организационно-правовым угрозам относятся:
· закупки несовершенных или устаревших информационных технологий и средств информатизации.
В соответствии с существующими подходами принято считать, что информационная безопасность автоматизированной системы обеспечена в случае, если для любых информационных ресурсов в системе поддерживается определённый уровень конфиденциальности (невозможности несанкционированного получения какой-либо информации), целостности (невозможности несанкционированной или случайной её модификации) и доступности (возможности за разумное время получить требуемую информацию). Соответственно для автоматизированных систем имеет смысл рассматривать три основных вида угроз:
1. Угроза нарушения конфиденциальности — заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Имеет место всякий раз, когда получен доступ к некоторой секретной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой («утечка»).
2. Угроза нарушения целостности — любое умышленное изменение информации, хранящейся в ВС или передаваемой от одной системы в другую.
3. Угроза отказа служб — возникает всякий раз, когда в результате преднамеренных действий, предпринимаемых другим пользователем или злоумышленником, блокируется доступ к некоторому ресурсу автоматизированной системы. Реально блокирование может быть постоянным (запрашиваемый ресурс никогда не будет получен) или оно может вызывать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным (ресурс исчерпан).
Для устранения некоторых из вышеперечисленных угроз введены формы секретности. Каждый орган управления предприятия работает с информацией различной секретности. К примеру, Общее собрание акционеров использует первую форму секретности.
В соответствии со степенями секретности сведений, составляющих государственную тайну, устанавливаются следующие формы допуска граждан к государственной тайне:
· первая форма — для граждан, допускаемых к сведениям особой важности [1];
· вторая форма — для граждан, допускаемых к совершенно секретным сведениям;
· третья форма — для граждан, допускаемых к секретным сведениям.
Доступ граждан к сведениям, составляющим государственную тайну, разрешается только при наличии у них допуска к государственной тайне по соответствующей форме. Наличие у граждан допуска к сведениям более высокой степени секретности является основанием для их доступа к сведениям более низкой степени секретности.
Объектами защиты информации на предприятии ЗАО «Новомет — Пермь» являются:
· жесткие диски серверов;
· финансовые отчеты, прогнозы, положение;
· условия оказания услуг;
· характеристика производимой и перспективной продукции;
· партнеры, клиенты и содержание договоров с ними;
· SAN;
· NAS;
· диски CD/DVD/Blue-ray;
· персональные компьютеры (в том числе ноутбуки);
· внешние устройства;
· система безопасности и, первую очередь, средства защиты конфиденциальной информации и т. д.
Основные цели получения информации — ознакомление, модификация, уничтожение.
Основные способы доступа к информации — за счет разглашения, за счет утечки, за счет несанкционированного доступа.
Далее опишем меры, методы и средства защиты информации, применяемые на предприятии на законодательном, административном, процедурном и программно-аппаратном уровнях.
На предприятии ЗАО «Новомет-Пермь» применяют следующие средства защиты информации:
v Средства защиты от несанкционированного доступа (НСД):
· Средства авторизации;
· Мандатное управление доступом;
· Избирательное управление доступом.
v Системы анализа и моделирования информационных потоков (CASE-системы).
v Системы мониторинга сетей:
· Системы обнаружения и предотвращения вторжений (IDS/IPS);
· Системы предотвращения утечек конфиденциальной информации (DLP-системы).
v Антивирусные средства.
v Межсетевые экраны.
v Криптографические средства:
· Шифрование;
· Цифровая подпись.
v Системы резервного копирования.
v Системы бесперебойного питания:
· Источники бесперебойного питания;
· Резервирование нагрузки;
· Генераторы напряжения.
v Системы аутентификации:
· Пароль;
· Ключ доступа (физический или электронный);
· Сертификат;
v Средства предотвращения взлома корпусов и краж оборудования.
v Средства контроля доступа в помещения.
v Инструментальные средства анализа систем защиты:
· Антивирус.
1. Акты федерального законодательства:
v Международные договоры РФ;
· Конституция РФ;
· Законы федерального уровня (включая федеральные конституционные законы, кодексы);
· Указы Президента РФ;
· Постановления правительства РФ;
· Нормативные правовые акты федеральных министерств и ведомств;
· Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
2. К нормативно-методическим документам можно отнести
v Методические документы государственных органов России:
· Доктрина информационной безопасности РФ;
· Руководящие документы ФСТЭК (Гостехкомиссии России);
· Приказы ФСБ;
v Стандарты информационной безопасности, из которых выделяют:
· Международные стандарты;
· Государственные (национальные) стандарты РФ;
· Рекомендации по стандартизации;
· Методические указания.
На административном уровне девствуют следующие документы:
· ГОСТ РВ 15.002−2003,
· трудовой договор,
· должностные инструкции,
· дополнительные соглашения о секретности,
· коллективный договор,
· стандарты предприятия.
Способы воздействия угроз на объекты информационной безопасности подразделяются на информационные, программно-математические, физические, радиоэлектронные и организационно-правовые.
Рассмотрим средства защиты информации, применяемые на предприятии. Всего их существует четыре (аппаратные, программные, смешанные, организационные).
Аппаратные средства защиты — замки, решетки на окнах, защитная сигнализация, сетевые фильтры, камеры видеонаблюдения.
Программные средства защиты: используются средства операционной системы, такие как защита, паролем, учетные записи.
Организационные средства защиты: подготовка помещений с компьютерами.
На программно-аппаратном уровне по защите информации применяются следующие меры:
· Windows XP и Windows 7 установлены на компьютеры сотрудников;
· использование антивирусной программы на всех компьютерах (AVAST Software);
· ограниченный доступ в Интернет;
· использование встроенных средств Windows для авторизации пользователя компьютера;
· замер влажности в производственных помещениях (с работающим оборудованием), в помещениях, где хранятся дополнительное оборудование;
· использование специальных логин / паролей для авторизации в базе 1С Предприятие;
· источники бесперебойного питания;
· резервное копирование по расписанию.
3.1 Меры и методы информационной безопасности Для уменьшения ущерба от компьютерного преступления очень важно своевременно его обнаружить. Для того, чтобы на предприятии обнаружить компьютерное преступление или уязвимые места в системе информационной безопасности следует обращать внимание на:
· несанкционированные попытки доступа к файлам данных;
· кражи частей компьютером;
· кражи программ;
· физическое разрушение оборудование;
· уничтожение данных или программ.
В то время как признаки могут помочь выявить преступление или злоупотребление, меры защиты могут помочь предотвратить его.
Меры защиты — это меры, вводимые для обеспечения безопасности информации; административные руководящие документы (приказы, положения, инструкции), аппаратные устройства или дополнительные программы, основной целью которых является предотвращение преступления и злоупотреблений, не позволяющее им произойти. Меры защиты могут также выполнять функцию ограничения, уменьшая размер ущерба от преступления.
Некоторые технологии по защите информации могут быть встроены в сам компьютер, другие могут быть встроены в программы, некоторые же выполняются людьми и являются реализацией указаний руководства, содержащихся в соответствующих руководящих документах.
Принятие решения о выборе уровня сложности технологий для защиты системы требует установления критичности информации и последующего определения адекватного уровня безопасности. Под критическими данными понимаются данные, которые требуют защиты из-за вероятности нанесения (риска) ущерба и его величины в том случае, если произойдет случайное или умышленное раскрытие, изменение или разрушение данных. Этот термин включает в себя данные, чье неправильное использование или раскрытие может отрицательно отразиться на способности организации решать свои задачи, на персональных данных и других данных, защита которых требуется указами Президента РФ, законами РФ и другими подзаконными документами.
В числе мер защиты информации можно выделить внешние и внутренние.
К внешним мероприятиям относятся: изучение партнеров, клиентов, с которыми приходится вести коммерческую деятельность, сбор информации об их надежности, платежеспособности и других данных, а также прогнозирование ожидаемых действий конкурентов и преступных элементов. По возможности выясняются лица, проявляющие интерес к деятельности предприятия, к персоналу, работающему в организации.
Внутренние мероприятия по обеспечению безопасности включают вопросы подбора и проверки лиц, поступающих на работу: изучаются их анкетные данные, поведение по месту жительства и на прежней работе, личные и деловые качества, психологическая совместимость с сотрудниками; выясняются причины ухода с прежнего места работы, наличие судимостей и пр. В процессе работы продолжается изучение и анализ поступков сотрудника, затрагивающих интересы организации, проводится анализ его внешних связей.
Сотрудники — важнейший элемент системы безопасности. Они могут сыграть значительную роль в защите коммерческой тайны, но в то же время могут быть и основной причиной ее утечки. Часто это случается по причине невнимательности, неграмотности. Поэтому регулярное и доходчивое обучение персонала вопросам секретности является важнейшим условием сохранения тайны. Однако нельзя исключать случаи умышленной передачи (продажи) работником секретов фирмы. Мотивационную основу таких поступков составляют либо корысть, либо месть, например, со стороны уволенного работника.
Защита информации предполагает использование специальных технических средств, электронных устройств, что позволяет не только сдерживать их утечку, но и останавливать такой вид деятельности, как промышленный (коммерческий) шпионаж. Большую их часть составляют технические средства обнаружения и средства противодействия устройствам прослушивания:
· телефонный нейтрализатор (для подавления работы мини-передатчика и нейтрализации снятия аудиоинформации);
· телефонный подавитель устройств прослушивания;
· профессиональный детектор (используется для «грубого» определения местонахождения радиозакладок);
· мини-детектор передатчиков (используется для точного определения местонахождения радиозакладок);
· генератор шума.
Для подавления диктофонов, работающих в режиме записи, нужно использовать устройства электромагнитного подавления, так называемые «подавители диктофонов». Принцип действия этих устройств основан на генерации мощных импульсных высокочастотных шумовых сигналов, излучаемые направленными антеннами поисковые сигналы, воздействуя на элементы электрической схемы диктофона (в частности, усилители низкой частоты) вызывают в них наводки шумовых сигналов. Вследствие этого одновременно с информационным сигналом (речь) осуществляется запись и детектированного шумового сигнала, что приводит к значительному искажению первого.
Сотрудники должны соблюдать меры по обеспечению информационной безопасности, а именно:
По возможности не допускать нахождение посторонних лиц в помещениях, в которых ведутся работы с секретной и конфиденциальной информацией. Если же посторонние лица все же были допущены (уборщицы, электрики, и другие сотрудники, не относящиеся к данному предприятию, а так же сотрудники, не имеющие соответствующего уровня доступа), то следует следить за ними, во избежание утечки информации.
Не передавать закрепленные за сотрудниками ключи для авторизации в закрытой сети, а так же не передавать пароли пользователей открытой сети, другим сотрудникам. В случае с ключами каждый сотрудник должен брать его сам из специального сейфа находящийся в отделе, а по завершению рабочего дня должен положить его обратно. Сейф открывается только ответственным за него сотрудником.
Кодовые пароли, от дверей в комнаты, должны знать только администраторы и сотрудники данного отдела. Другие сотрудники, что бы войти в данное помещение, должны позвонить в дверной звонок. Двери с кодовыми замками должны быть всегда закрыты, за исключением случаев, когда в отделе находятся сотрудники обслуживающего персонала не относящиеся к данному предприятию (уборщицы, электрики, и др.).
Печатные документы с грифом «Секретно» должны храниться только в специальном отделе, остальные документы должны храниться в отведенном для этого месте. Секретные документы берутся сотрудниками под роспись, и должны быть возвращены до конца рабочего дня.
Интернет должен использоваться только для работы.
Изменять параметры системы может только администратор безопасности.
Для решения задач, необходимо совершить закупку и установку следующих устройств: камеры, видеорегистратор.
4. Совершенствование системы информационной безопасности Современные технологии программирования не позволяют создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения информационной безопасности.
Проанализировав информационную безопасность предприятия можно сделать вывод, что информационной безопасности уделяется недостаточное внимание:
· отсутствие паролей на компьютерах сотрудников;
· нерегулярное обновление базы программы антивируса и сканирование рабочих станций;
· большое количество документов на бумажных носителях в основном лежат в папках (иногда и без них) на рабочем столе сотрудника, что позволяет злоумышленникам без труда воспользоваться данного рода информациях в своих целях;
· не организована регулярная проверка работоспособности информационных систем предприятия, отладка производится только лишь в том случае, когда они выходят из строя;
· отсутствует дополнительная защита файлов и информации.
Перебои в работе серверного и сетевого оборудования, информационных систем, каналов передачи данных относятся к факторам рисков, связанных с информационными технологиями. На минимизацию рисков должны быть направлены действия:
· по проведению планово-предупредительных ремонтов,
· созданию резервных каналов,
· модернизации вычислительных мощностей,
· сетевого и инженерно-технологического оборудования.
Необходимо провести следующие необходимые «защитные» мероприятия на предприятии:
· адекватное определение перечня сведений, подлежащих защите;
· выявление уровней доступности и прогнозирование возможных уязвимых мест в доступе к информации;
· принятие мер по ограничению доступа к информации;
· организация охраны помещения и постоянного контроля за сохранностью информации (в частности, необходимость наличия закрывающихся шкафов, сейфов, кабинетов, телевизионных камер слежения и т. п.);
· наличие четких правил обращения с документами и их размножения;
· наличие на документах надписей «Секретно», «Для служебного пользования», а на дверях — «Посторонним вход воспрещен». Каждый носитель информации (документ, диск и др.) должен иметь соответствующее обозначение и место хранения (помещение, сейф, металлический ящик);
· усовершенствование пропускного режима — установка современных кодовых замков, выпуск электронных пропусков для сотрудников;
· подписание с сотрудниками предприятия договора о неразглашении тайны.
Предложенные меры защиты несут в себе не только устранение основных проблем на предприятии, касающихся информационной безопасности, но при этом они потребуют дополнительных вложений на обучение персонала, разработку нормативных документов, касающихся политики безопасности. Потребует дополнительных затрат труда и не исключат стопроцентно риски. Всегда будет иметь место человеческий фактор, форс-мажорные обстоятельства.
Если такие меры не предпринять затраты на восстановление информации, потерянные возможности по стоимости превзойдут те затраты, что требуются для разработки системы безопасности.
Модель информационной системы с позиции безопасности представлена рисунке 1, декомпозиция бизнес-процесса «Защитить информацию» представлена на рисунке 2.
Рис.1-Модель бизнес-процесса «Защитить информацию».
Рис.2- Декомпозиция бизнес-процесса «Защитить информацию».
Заключение
В процессе выполнения курсового проекта был проведен анализ средств информационной безопасности предприятия ЗАО «Новомет — Пермь» информационных ресурсов предприятия, анализ угроз ИБ, и были выявлены соответствующие недостатки.
В соответствии с выявленными недостатками были предложены меры их устранения, в результате выполнения которых предприятие позволит повысить эффективность средств защиты и сократить риск потери и искажения информации.
Нужно помнить, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в компьютерных сетях. В то же время свести риск потерь к минимуму возможно лишь при комплексном подходе к вопросам безопасности.
В ходе выполнения данной работы цель достигнута, за счет решения поставленных задач.
информационный безопасность риск угроза
1. ГОСТ 28 147–89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.
2. ГОСТ Р 34.10−94 Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи. На базе асимметричного криптографического алгоритма.
3. Торокин А. А. Основы инженерно-технической защиты информации. — М: Ось-89, 1998. — 336с.
4. Ярочкин В. И. Информационная безопасность / Учебное пособие для вузов. М.: Летописец, 2003. — 640с.
5. Основы информационной безопасности / Галатенко В. А. / М.:ИНТУИТ.РУ «Интерент-Университет Информационных Технологий», 2003. — 280 с.
6. Стандарты информационной безопасности/ Галатенко В. А. / М.:ИНТУИТ.РУ «Интерент-Университет Информационных Технологий», 2004. — 280 с.
7. Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие. _М.: Логос, 2001, -264 с.
8. Белкин П. Ю., Михальский О. О. и др. Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных: Учеб. пособие для вузов. -М.: Радио и связь, 2000. — 168с.
9. Мельников В. В. Безопасность информации в автоматизированных системах. — М.: Финансы и статистика, 2003. — 368 с.