Организация системы безопасности информационных систем на предприятиях малого и среднего бизнеса
Характеристика нормативных правовых документов, регулирующих информационную безопасность и защиту персональных данных. Изучение угроз информационной безопасности, их классификация и источники. Характеристика системы информационной защиты организации.
Рубрика | Экономика и экономическая теория |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 20.08.2020 |
Размер файла | 1,2 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ УНИВЕРСИТЕТ
«ВЫСШАЯ ШКОЛА ЭКОНОМИКИ»
Факультет «Бизнеса и менеджмента»
безопасность информационный данные персональный
«Организация системы безопасности информационных систем на предприятиях малого и среднего бизнеса»
Выпускная квалификационная работа - БАКАЛАВРСКАЯ РАБОТА
по направлению подготовки 38.03.05 «Бизнес-информатика»
образовательная программа «Бизнес-информатика»
Светашов Антон Сергеевич
Москва 2020
Оглавление
Введение
Глава 1. Теоретические основы информационной безопасности
1.1 Нормативные правовые документы, регулирующие информационную безопасность и защиту персональных данных
1.2 Угрозы информационной безопасности, их классификация и источники
1.3 Методы и средства защиты информации и их классификация
Глава 2. Изучение системы информационной защиты малого предприятия ООО «ИК АвтоКлюч»
2.1 Характеристика системы информационной защиты организации
2.2 Методы противодействия внутренним угрозам
2.3 Методы противодействия внешним угрозам
2.4 Анализ защищенности информации в организации
Глава 3. Рекомендации по защите информационных систем для компаний среднего и малого бизнеса
3.1 Описание программного комплекса
3.2 Проектирование оптимальной СЗИ
Заключение
Список литературы
Введение
В наши дни невозможно найти сферу бизнеса, которая не использует информационные технологии в финансовом секторе, для хранения важных данных о клиентах и о сотрудниках компании или о бизнес-процессах. Однако, существует большое количество угроз в современном мире, которые могут не только нанести физический или материальный ущерб компании, но и полностью парализовать ее работу. Киберпреступность в современном мире развивается очень быстрыми шагами. Это подталкивает предприятия модернизировать и совершенствовать технологии и способы обеспечения информационной безопасности, а в следствии увеличивать затраты. У малого и среднего бизнеса обычно не имеет достаточно средств и компетенций для обеспечения информационной безопасности высокого уровня. Именно поэтому данные предприятия чаще всего становятся жертвами киберпреступников. Крупные предприятия уделяют большое внимание защите собственной важной информации и содержат целые отделы, отвечающие за обеспечение информационной безопасности предприятия. В то время как слабая и устаревшая система защиты малых предприятий дает возможность злоумышленникам похитить важную информацию, например, персональные данные работников или клиентов компании.
Существует несколько возможных причин почему малый и средний бизнес имеет недостаточно квалифицированную защиту. Во-первых, компетентность персонала недостаточная. Малому и среднему бизнесу не хватает ресурсов на содержание высококвалифицированных специалистов. Во-вторых, слабая подготовка персонала, отвечающего за безопасность информационных систем, становится следствием не информированности верховного менеджмента компании обо всех проблемах и опасностях, которым может быть подвержено предприятие. В-третьих, недостаток финансовых средств заставляет игнорировать руководство предприятий различные тренинги персонала, который также может стать причиной утечки информации посредством фишинговых действий злоумышленников. Также недостаток средств провоцирует пользоваться бесплатным программным обеспечением и бесплатных или относительно недорогих сервисов по хранению информации, которые не могут похвастаться высоким уровнем защиты. Опираясь на исследование Лаборатории Касперского [1], 91 процент компаний, которые приняли участие в исследовании недооценивают информационные угрозы, которым подвержено предприятие. В течение 2014 года 98 процентов компаний столкнулись с хакерскими атаками, которые были совершены извне и 25 процентов этих компаний потеряли конфиденциальную информацию в результате совершенных нападений. 87 процентов компаний пострадали от внутренних угроз и 24 процента из этих компаний также потеряли конфиденциальную информацию. В среднем потери бизнеса от киберпреступности составляют 20 миллионов рублей для крупного бизнеса и 780 тысяч рублей для среднего и малого бизнеса. Данное исследование показывает, что проблема информационной безопасности предприятия очень актуальна в наши дни.
Актуальность данного исследования базируется на следующих аспектах. Разновидности угроз, которые могут причинить вред бизнесу, пользуясь уязвимостями в его информационной системе, постоянно развиваются и совершенствуются. Поэтому вопрос защиты и совершенствования систем информационной безопасности остается актуальным. Стоимость более совершенных методов защиты также останется высокой, а соответственно и высоко квалифицированный персонал тоже будет требовать больших затрат. Именно поэтому данная проблемы для малого и среднего бизнеса будет оставаться актуальной и в ближайшем будущем. В связи с высокой цифровизацией современных предприятий, все больше информации должно быть защищено современными системами информационной безопасности.
Главной целью работы является анализ организации систем информационной безопасности на предприятиях среднего и малого бизнеса и предоставление стратегии построения оптимальной системы защиты информации для этих предприятий. Для достижения поставленной цели были поставлены следующие задачи:
· проанализировать нормативные правовые акты, регулирующие информационную безопасность и требования, которые к ней предъявляются;
· изучить существующие угрозы, с которыми может столкнуться предприятие на сегодняшний день и методы борьбы с ними;
· проанализировать систему информационной безопасности на примере предприятия малого бизнеса ООО «ИК АвтоКлюч»;
· разработать рекомендации для системы информационной безопасности предприятий малого бизнеса.
Исследование содержит введение, три главы, заключение и список использованной литературы. В первой главе будут рассмотрены нормативные правовые акты, регулирующие положения об информационной безопасности, а также рассмотрены классификации угроз и виды конфиденциальных данных. Во второй главе будет проведен анализ системы информационной безопасности предприятия малого бизнеса ООО «ИК АвтоКлюч» и в третьей главе - выполнено проектирование универсальной системы защиты информации.
Глава 1. Теоретические основы информационной безопасности
1.1 Нормативные правовые документы, регулирующие информационную безопасность и защиту персональных данных
Практически каждая компания имеет дело с клиентами и, следовательно, производит обработку их персональных данных для собственных нужд. Для начала стоит рассмотреть нормативные правовые акты, регулирующие информационную безопасность, а также, поскольку информация, которая защищается на предприятии, относится к персональным данным и коммерческой информации, то рассмотрения требуют и законы, регулирующие защиту таковых.
К законодательным документам информационной безопасности относятся: федеральные законы, документы Федеральной службы по техническому и экспортному контролю (в дальнейшем ФСТЭК), а также нормативные правовые акты Президента Российской Федерации и правительства Российской Федерации. Как уже было сказано, практически каждое предприятие работает с персональными данными и в соответствии с законодательными документами каждая из этих организаций обязана выполнить ряд организационных мер для обеспечения защиты информации. рассмотрим федеральные законов в области информационной безопасности.
Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» [2]. Он регулирует осуществление прав на поиск, получение, производство и распространение информации, также применение информационных технологий и обеспечение защиты информации. Вторым федеральным законом, регулирующим отношения в области информационной безопасности, является Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ [3]. Сфера действий данного закона распространяется на обработку персональных данных государственными учреждениями, федеральными органами, органами государственной власти субъектов и другими государственными органами, физическими и юридическими лицами с помощью средств автоматизации или без таковых, в случае, если такая обработка похожа по характеру операций на обработку с использованием средств автоматизации, что подразумевает поиск определенных персональных данных, находящихся на материальном носителе и содержащихся в систематизированных хранилищах, с использованием специальных алгоритмов. В данном законе также есть и исключения для физических лиц и государственных органов.
Помимо федеральных законов есть Постановления Правительства РФ в области информационной безопасности, первое из которых - Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований у защите персональных данных при их обработке в информационных системах персональных данных» [4]. Данные положение определяет требования к защите персональных данных при их обработке в информационных системах, а также устанавливает требуемый уровень защищенности таких данных, поэтому рассмотрим его подробнее.
Согласно данному постановлению, безопасность персональных данных должна обеспечиваться лицом, которое является оператором системы обработки персональных данных или же уполномоченным лицом посредством договора между таковым и оператором. При этом средства защиты оператор выбирает, основываясь на нормативных правовых актах, принятых ФСБ и ФСТЭК. Далее в положении определяются различные типы информационных систем:
- Системы, где обрабатываются данные о расе, национальной принадлежности, религиозной принадлежности, философских взглядов, здоровье объекта, интимная жизнь и политические взгляды объекта персональных данных.
- Системы, обрабатывающие биометрические, физиологические или биологические данные, позволяющие определить личность объекта и которые используются с этой целью, но не относятся к предыдущему типу (специальные категории персональных данных).
- Системы, обрабатывающие данные, которые можно получить из общедоступных ресурсов, так называемые системы, обрабатывающие общедоступные персональные данные.
- Системы, обрабатывающие данные только сотрудников оператора данной ИС.
- Системы, обрабатывающие иные категории персональных данных (те, которые не относятся к перечисленным выше).
В этом положении определяется понятие актуальных угроз безопасности персональных данных и приводится классификация угроз трех типов. Актуальные угрозы - объединение условий и факторов, при которых появляется возможность получения несанкционированного доступа к персональным данным при их обработке и в результате удаление, изменение, повреждение, ограничение доступа, копирование и последующее распространение и другие неправомерные действия. К упомянутым ранее трем типам угроз, описанных в положении, относятся:
- Угрозы, вызванные наличием не декларированных возможностей в системном ПО, которое используется в информационной системе.
- Угрозы, вызванные наличием не декларированных возможностей в прикладном ПО, которое используется в информационной системе.
- Угрозы, вызванные наличием не декларированных возможностей в системном и прикладном ПО, которое используется в информационной системе.
Согласно законодательству, выделяется четыре уровня защищенности и в постановлении № 1119 в пунктах 9-12 подробно оговаривается при каких условиях нужно использовать тот или иной уровень защиты: от самого низкого 4-го до самого высокого - 1-го. На каждом уровне защиты для обеспечения сохранности при обработке персональных данных требуется вводить следующие уровни защиты согласно постановлению:
- Для обеспечения 4-го уровня защиты требуется обеспечить ограничение доступа к помещению, где хранятся конфиденциальные данные, для лиц, не имеющих права доступа к этой информации, обезопасить физические носители информации от умышленного физического повреждения или хищения, определить и утвердить оператором список лиц, которым нужно предоставить доступ к персональным данным, обрабатываемым в системе, для выполнения их трудовых обязанностей.
- Для обеспечения 3-го уровня защиты, помимо требований предъявленных в пункте 1, требуется назначение ответственного лица за сохранность и безопасность данных в ИС.
- Для обеспечения 2-го уровня защиты необходимо выполнение условий 2 пункта и организация доступа к электронному журналу сообщений исключительно должностных лиц оператора или уполномоченного лица, для которых данные сведения требуются для выполнения служебных обязанностей.
- Для обеспечения 1-го уровня защиты необходимо не только выполнение всех предыдущих пунктов, но и организация автоматической системы учета прав доступа к персональным данным в системе и создание отдельного подразделения, несущего ответственность за обеспечение безопасности персональных данных или возложение такой ответственности на одно из уже функционирующих подразделений.
Помимо Постановлений Правительства и Федеральных законов сохранность наших персональных данных нам обеспечивает и конституция. Согласно 23 Статье конституции РФ [5] «Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну…», а Статья 24, пункт 1 регламентирует сохранность персональных данных [6]: «Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Подробно меры обеспечения безопасности персональных данных рассмотрены в приказе ФСТЭК России от 18.02.2013 N 21 (ред. от 23.03.2017) "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" [9]. Согласно данному приказу, в состав мер входят:
· механизмы аутентификации и идентификации;
· управление доступом субъектов к объектам доступа;
· физическая защита носителей информации;
· регистрация событий безопасности;
· защита с помощью антивирусного ПО;
· обнаружение и предотвращение несанкционированного доступа в систему;
· мониторинг и анализ степени защищенности персональных данных;
· обеспечение целостности хранимой информации;
· обеспечение доступности данных;
· защита технических средств и оборудования;
· защита виртуальной среды;
· защита самой информационной системы, каналов связи и передачи данных;
· выявления уязвимостей системы защиты, которые способны привести к сбоям в работе ИС или к возникновению угроз безопасности и последующее реагирование на них;
Все эти меры необходимы для обеспечения каждого из 4 уровней защиты персональных данных.
Обеспечение сохранности персональных данных сотрудников на предприятии регламентирует Глава 14 «Защита персональных данных работника» трудового кодекса РФ [11]. В данной главе обозначены обязанности собственника предприятия по защите персональных данных сотрудника, требования к хранению, обработке и передаче персональных данных, права работников и ответственность за несоблюдение норм, которые регулируют защиту персональных данных.
Любое предприятие, осуществляющее обработку персональных данных, должно обеспечивать необходимую защиту этих данных, руководствуясь всеми перечисленными выше нормативными правовыми актами, приказами, постановлениями и законами.
1.2 Угрозы информационной безопасности, их классификация и источники
Информационная безопасность в самом широком смысле этого слова представляет собой совокупность средств защиты информации от случайного или непреднамеренного воздействия. Это понятие может быть раскрыто при помощи моделей безопасности. Модели представляют собой разделение всех видов нарушений на несколько групп таким образом, чтобы любое нарушение относилось хотя бы к одной из этих групп и если информационная система может противостоять каждой из этих групп нарушений, то она является безопасной. Самый распространенной и известной является модель, описанная в стандарте ISO 27001 [7]:
· Целостность - данные должны оставаться неизменными после использования, обработки или передачи, должны сохранять свою структуру и исходную форму.
· Конфиденциальность - доступ к информации должен быть ограничен. Во время операций над информацией она должна быть доступна только тем пользователям, у которых есть право доступа к ней.
· Доступность - информация должна быть доступна в любой момент для лиц, имеющих право доступа к ней.
Стандарт ISO 27001 нацелен на обеспечение трех принципов управления информации, которые перечислены выше, а меры, которые им предусмотрены, направлены на защиту данных от киберпреступлений, неправомерного доступа, кражи информации и других угроз.
До сих пор ведутся споры на тему: какой набор свойств информационной системы полностью ее характеризует. Помимо модели из трех групп (целостность конфиденциальность и доступность) существуют и другие, например, гексада (Гексада (шестиконечная звезда) - подчеркивает, что модель состоит из шести групп) Паркера. В этой модели рассматриваются 6 групп возможных нарушений, помимо трех известных (целостность конфиденциальность и доступность) также рассматриваются:
· Подлинность - физический контроль над системой находится во владении у тех лиц, у которых есть на это право и доступ.
· Полезность - удобство использования информационной системы, все методы защиты не должны препятствовать пользователю в работе с конфиденциальной информацией.
· Управляемость или владение - невозможность пользователя выдать себя за другого и достоверность информации об авторстве и источниках документов. [10]
Модель STRIDE является распространенной моделью и имеет шесть групп нарушений. Наименование данной модели является аббревиатурой названий шести групп нарушений на английском языке, которые входят в нее:
· Подмена данных (spoofing) - возможность пользователя выдать себя за другого и таким образом получить несанкционированный доступ к конфиденциальной информации.
· Изменение данных (tampering).
· Отказ от ответственности (repudiation) - возможность пользователя отказаться от ответственности в выполнении каких-либо действий путем ввода оператора системы в заблуждение.
· Нарушение конфиденциальности (information disclosure).
· Нарушение доступности (denial of service).
· Захват привилегий (elevation of privilege) - несанкционированное повышение полномочий пользователем с целью получения доступа к конфиденциальным данным. [10]
В гексаде Паркера и модели STRIDE имеется три общие группы, которые можно охарактеризовать как конфиденциальность целостность и доступность. Так как модель из трех компонентов имеет свое начало в 1975 году и была, фактически, первой моделью, предложенной Майклом Шрёдером и Джерри Зальцером в их статье «Защита информации в компьютерных системах» [8], то все альтернативные модели так или иначе строятся на ее основе.
Любая СЗИ должна защищать конфиденциальные данные информационной системы от всех групп угроз, описанных в модели информационной безопасности, на основании которой строится СЗИ. Угроза информационной безопасности - это потенциально возможное влияние или воздействие на автоматизированную систему с последующим ущербом для чьих-либо нужд. В наши дни существует множество классификаций угроз информационной безопасности по различным признакам:
1. По причинам проявления
· естественные - вызванные стихийными или естественными явлениями;
· умышленные - совершенный в каких-либо корыстных целях или со злым умыслом;
· неумышленные - совершенные по неосторожности или случайности.
2. По вероятности возникновения
· маловероятные;
· вероятные;
· весьма вероятные.
3. По отношению к объекту
· внутренние - угроза исходит от субъектов, имеющих доступ к информационной системе;
· внешние - угроза исходит от субъектов внешний среды информационной системы.
4. По характеру воздействия
· активны - существует угроза нанесения вреда информационной системе: удаление или блокировка данных и так далее;
· пассивные - угроза представляет собой сканирование трафика, протекающего внутри информационной системы, например, сканирование почты и переписок сотрудников организации.
5. По величине ущерба
· незначительный;
· значительный;
· предельный. [18]
Наиболее подробно классификацию информационных систем можно изучить в выписке ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» [12] (Рис. 1.2.1). В соответствии с данным документом выделяются следующие классификации:
· по виду защищаемой информации с персональными данными;
· по видам возможных источников угроз;
· по виду нарушаемого свойства информации (целостность, доступность, конфиденциальность);
· по типу информационной системы;
· по способу реализации угроз;
· по используемой уязвимости;
· по объекту воздействия.
Рис. 1.2.1
Опираясь на выписку ФСТЭК можно рассмотреть возможные источники угроз. Выделяется три источника угроз: внешние или внутренние нарушители, носители вредоносных программ и аппаратные закладки. К внешним нарушителям можно отнести объекты, проникающие в ИСПДн с помощью сетей общего пользования извне, а к внутренним нарушителям относятся объекты. Работающие в ИСПДн и имеющие права доступа на информацию в ней. И внешние и внутренние нарушители имеют свою классификацию, но останавливаться подробнее на ней не будем, она также прописана в документах ФСТЭК. Под носителями вредоносных программ подразумевается физический или виртуальный программный контейнер, на который может быть записана вредоносная программа. Это может быть флэш-накопитель, твердотельный накопитель, диск, микросхема. Исполняемый текстовый или графический файл и так далее. Под аппаратными закладками подразумевается устройство, способное вмешиваться в работу системы и позволяют получать доступ к информации, обычно представляют устройство в электронной схеме.
1.3. Методы и средства защиты информации и их классификация.
По ГОСТу Р 50922-2006 «Защита информации. Основные термины и определения» [13] под защитой информации подразумевается «Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию». Цель защиты информации - обеспечить сохранность конфиденциальной информации и предотвращение нарушения ее целостности доступности или конфиденциальности. О защите информации можно найти сведения в федеральном законе от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации» [2]. Исходя из статьи 16 «Защита информации», основными целями защиты является предотвращение неправомерных действий в отношении защищаемой информации, таких как: несанкционированный доступ, модификация, копирование, уничтожение, хищение, блокировка и подобные; обеспечение конфиденциальности информации; обеспечение доступности информации для пользователей, с правом доступа к ней.
Согласно данному закону, оператор информационной системы обязан:
· обеспечить сохранность информации и предотвратить доступ к ней посторонним лицам, не имеющим права доступа к ней, и передачу информации сторонним лицам;
· своевременно обнаружить доступ посторонних лиц к информации;
· своевременно сообщать о возможных последствиях в связи с утечкой информации;
· защита физических носителей информации и предотвращение их возможного повреждения;
· предоставить возможность быстрого восстановления утраченной информации;
· проводить аудит и оценивать уровень защищенности информации;
· хранить всю информацию, касающуюся персональных данных, и производить ее обработку на территории РФ.
Также, опираясь на ФЗ № 149 [2], защиту информации делят на три уровня:
· Правовой уровень - требует выполнение всех государственных правил указаний и стандартов в области защиты информации.
· Организационный уровень - данный уровень разрабатывается и устанавливается организацией. Нацелен на регламентирование работы персонала с конфиденциальными данными и обеспечение доступа к ней исключительно для тех, кому это необходимо для выполнения служебных обязанностей.
· Технический уровень - подразумевает технические средства защиты от физического воздействия и программного на защищаемую информацию.
Для выполнения всех правовых норм по защите информации требуется комплекс методов защиты информации с использованием определенных средств.
В современной мировой практике существует множество методов защиты информации, однако используют в основном шесть основных [14]:
· Препятствие - представляет физическую и программную защиту носителей информации и препятствует получению доступа к конфиденциальной информации.
· Маскировка - представление информации в виде, непригодном для визуального восприятия. К подобным методам относятся, например, криптографические средства защиты информации.
· Управление - все компоненты информационной системы управляются оператором. Включает в себя разграничение доступа, идентификацию пользователей и так далее.
· Регламентация - ведение инструкций, согласно которым должны действовать пользователи информационной системы.
· Принуждение - принуждение сотрудников компании и пользователей информационных систем действовать согласно регламентам.
· Побуждение - побуждение пользователя информационной системы не нарушать сложившиеся морально-этические нормы в области информационной безопасности.
Методы защиты информации предполагают использование определенных наборов средств для защиты информации, с помощью которых тот или иной метод реализуется.
Средства защиты информации делят на формальные и неформальные [22]. При этом каждый из этих видов делится на несколько подвидов. Для наглядности это проиллюстрировано на Рис. 1.3.1.
Рис. 1.3.1
К неформальным средствам можно отнести нормативные правовые документы, правила, указания, мероприятия по обучению персонала и морально-этические нормы. Они делятся на:
· Нормативные - к данному виду защиты информации относятся нормативные правовые документы и законы, регулирующие отношения в области защиты информации.
· Административные - подразумевает организационные мероприятия, направленные на улучшение компетенций и повышение ответственности сотрудников в области информационной безопасности.
· Морально-этические - не являются обязательными и не регулируются законодательно. Сложившиеся принципы поведения, которые способствуют повышению уровня защищенности информации в организации. При несоблюдении данных норм имеется риск потери авторитета.
К формальным средствам относят уже технические средства защиты, которые физически или технически препятствуют взлому или хищению информационных носителей. Их делят на:
· Аппаратные - это технические приспособления, которые встраиваются в информационную систему и препятствуют доступу и позволяют замаскировать информацию от посторонних лиц. К подобным устройствам можно отнести электрические, оптические, подавляющие шум устройства.
· Физические - любые средства защиты, которые препятствуют физическому контакту с носителями информации или с устройствами, позволяющими получить к ней доступ. Это могут быть кодовые замки, стальные двери, видеонаблюдение, датчики движения и так далее.
· Программные - программное обеспечение, защищающее информационную систему от внешних и внутренних угроз. Чаще всего представляют комплекс средств из антивирусного ПО, Firewall, и множества других программ, позволяющих разграничивать или ограничивать доступ различных лиц к ИС.
· Криптографические - представляют собой набор криптографических и стенографических методов, позволяющих передавать конфиденциальную информацию по внутренней и внешней сети в зашифрованном виде. [22]
Разобрав классификацию средств защиты информации, имеется возможность сопоставить их с методами. Составим таблицу, в которой для каждого метода определим набор средств, с помощью которых он может быть реализован.
Методы защиты |
Средства защиты |
|
Препятствие |
Физические, аппаратные, программные, криптографические |
|
Управление |
Аппаратные, программные |
|
Маскировка |
Аппаратные, программные, криптографические |
|
Регламентация |
Административные, нормативные, программные |
|
Принуждение |
Нормативные |
|
Побуждение |
Морально-этические |
Изучив нормативные правовые акты и основы теории информационной безопасности, можно сделать вывод, что предписаний по защите информации и различных методов, и средств защиты информации существует огромное множество. Каждый аспект организации информационной системы является важным и не может быть упущен. Система информационной безопасности - это комплекс мер, направленных на предотвращение нарушения целостности, конфиденциальности и доступности информации.
Глава 2. Изучение системы информационной защиты малого предприятия ООО «ИК АвтоКлюч»
2.1 Характеристика системы информационной защиты организации
Для лучшего понимания организации системы защиты информационной безопасности на предприятиях среднего и малого бизнеса изучим организацию-представителя малого бизнеса ООО «ИК АВТОКЛЮЧ».
Инструментальная Компания «АВТОКЛЮЧ» - оптовый продавец ручного автомобильного, слесарного и монтажного инструмента, автомобильных съемников и сопутствующих товаров. Компания известна на российском рынке продолжительное время и в настоящее время занимает одну из ведущих позиций среди оптовых продавцов ручного инструмента. Организационная структура предприятия построена по линейно-функциональному принципу (Рис. 2.1.1). Управление предприятием осуществляется централизованно через генерального директора, который занимается непосредственным управлением набором персонала, а также издает приказы и распоряжения.
Рис. 2.1.1
Преимуществами подобной организационной структуры в области информационной безопасности заключается в не связанности различных отделов друг с другом, каждый владеет и имеет доступ только к той информации, которая необходима для выполнения служебных обязанностей. Однако, данный плюс одновременно является и минусом, так как практически вся информация обо всех бизнес-процессах заключена в одних руках - генеральный директор. Поэтому учредитель организации при выборе генерального директора должен проявить осмотрительность и осторожность.
Структура информационной системы представлена на изображении ниже (Рис. 2.1.2). Данная информационная система представляет собой локальную сеть, включающую в себя один сервер и 7 групп
Рис. 2.1.2
автоматизированных рабочих мест для работников различных отделов. Также имеется группа локальных принтеров для печати документов. Все локальные устройства соединены с сервером через коммутатор. Безопасность интернет-соединения обеспечивает Firewall. В качестве программного обеспечения используется Windows Server 2008, в котором имеется возможность настроить Active Directory (позволяет ограничивать доступ пользователя к определенным файлам). На рабочих станциях используется система Windows 10. Более подробные нюансы технологий, использующихся в целях защиты информационной системы, будут рассмотрены позже. Ответственным лицом за обеспечение защиты информационной системы предприятия является системный администратор организации. При такой структуре информационной системы он является единственным человеком, имеющим доступ ко всем данным, хранящимся в организации на электронных носителях. Данный факт является существенным недостатком организации системы информационной безопасности компании.
В организации существует два типа информации, подлежащей строгой защиты. Первое - персональные данные клиентов и сотрудников организации, которые должны быть защищены в соответствии с законодательством Российской Федерации, и второе - данные, касающиеся любой деятельности и бизнес-процессов компании. Перечислим более подробно все сведения, которые должны быть защищены:
· персональные данные клиентов, с которыми работает организация;
· персональные данные сотрудников организации;
· сведения о внутренней деятельности организации;
· сведения, содержащие информацию о дальнейших перспективах развития организации;
· сведения о экономических прогнозах организации;
· данные о способах работы с ценными бумагами и денежными средствами;
· внутренняя бухгалтерская отчетность;
· договоры между организацией и банками;
· образцы подписей сотрудников организации и образцы печатей для банков;
· конфиденциальные сведения, касающиеся банковских взаимоотношений с организацией;
· информация о качестве системы защиты информационных систем;
· сведения о личных кодах доступа к информационной системе предприятия;
· данные о планах закупок товарной продукции;
· данные о прогнозах спроса на продаваемую продукцию организации;
Эта информация хранится как на бумажных носителях, так и на электронных и требует обязательной защиты.
Угрозы, которые имеют отношение к данной компании возьмем из выписки ФСТЭК: «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» [12] (классификация показана на Рис. 1.2.1) и из банка угроз ФСТЭК [31]. Для наглядности составим таблицу:
Классификация угроз |
Угрозы |
|
Угрозы информации, обрабатываемой в технических средствах обработки информации |
Угроза несанкционированного доступа к аутентификационной информации, угроза нарушения целостности данных и кэша, угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации. |
|
Угрозы, создаваемые нарушителем (физическим лицом) |
Угроза преодоление физической защиты, угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации, угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации. |
|
Угрозы, создаваемые вредоносным ПО |
Угроза несанкционированного удаления защищаемой информации, угроза перехвата вводимой и выводимой на периферийные устройства информации, угроза неправомерного/некорректного использования интерфейса взаимодействия с приложением, угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации |
|
Угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе локальной вычислительной сети |
Угроза доступа к локальным файлам сервера при помощи URL, угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сети, угроза несанкционированного доступа к локальному компьютеру через клиента грид-системы. |
|
Угрозы, реализуемые с применением вредоносных программ |
Угроза автоматического распространения вредоносного кода в грид-системе, угроза воздействия на программы с высокими привилегиями, угроза утечки информации за счет применения вредоносным программным обеспечением алгоритмов шифрования трафика |
|
С использованием уязвимостей протоколов сетевого взаимодействия и каналов передачи данных |
Угроза использования слабостей протоколов сетевого/локального обмена данными, угроза неправомерных действий в каналах связи, Угроза доступа/перехвата/изменения HTTP cookies, угроза несанкционированного доступа к системе по беспроводным каналам. |
|
УБПДн, обрабатываемых на АРМ (На отчуждаемых носителях информации) |
Угроза нарушения технологии обработки информации путём несанкционированного внесения изменений в образы виртуальных машин, угроза несанкционированного воздействия на средство защиты информации, угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации, угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации. |
Все угрозы, которым подвержено предприятие можно разделить на внешние и внутренние угрозы. Больше внимание в компании уделяется борьбе с внутренними угрозами, однако о внешних угрозах тоже нельзя забывать.
2.2 Методы противодействия внутренним угрозам
Для компании все выше становится важность обеспечения высоким уровнем безопасности ее конфиденциальных данных, так как чем больше размер компании и чем больше конфиденциальных данных имеется, тем больше желание у злоумышленников получить к ним доступ. Мною было взято интервью у руководителя отдела информационной безопасности с целью получения сведений о используемых методах обеспечения информационной безопасности и об угрозах, с которыми сталкивается организация. Самой большой опасностью по словам сотрудника является работник компании. Как правило, чаще всего вредоносное ПО попадает на сервер из-за небрежности рядовых сотрудников и их неосведомленности или рассеянности. Сперва перечислим методы и технологии, которые используются для предотвращения внутренних угроз.
Первое - контроллер домена. Данная технология позволяет разграничить права доступа пользователей рабочей системы к различной информации файлам и программам. Контроллер домена обеспечивает централизованное управление сетевыми устройствами, то есть доменами. В контроллере хранится вся информация с учетных записей и параметров пользователей сети. Это параметры безопасности, локальной политики и многие другие. Это, своего рода, сервер, который полностью контролирует определенную сеть или сетевую группу. Контроллеры работают под управлением определенных операционных систем, таких как Windows server различных версий. Также Windows Server позволяет использовать технологию Active Directory. Позволяет администраторам организаций обеспечивать однообразный интерфейс и напор программного обеспечения, доступного сотрудникам, также позволяет разграничивать права доступа и настраивать рабочее пространство сотрудников в соответствии с их служебными обязанностями и предоставлять доступ только к той информации, которая необходима.
Терминальный сервер - устройство, предоставляющее удаленный доступ к рабочим столам, делегирующее вычислительные ресурсы конечному пользователю [30]. Используется со специализированным программным обеспечением, поддерживающим возможность работы посредством удаленной сессии. И в наши дни данная технология остается актуальной. Проще говоря, все рабочие столы пользователей расположены на центральном сервере, что лишает возможности сотрудника изъять физический носитель информации, а также удешевляет стоимость оборудования, так как для подобной системы нужен один мощный сервер и множество простых компьютеров с блоком питания и оперативной памятью. При запуске компьютер сотрудника подключается к удаленному рабочему столу через tftp сервер (упрощенный ftp сервер, служит для передачи файлов, без всяких заморочек, паролей, логинов и т. д. необходимо знать только ip адрес). Данная технология позволяет проще создавать backup системы, упрощает управление данными, позволяет управлять доступом к флэш-портам с целью предотвращения закачки вирусных программ на компьютеры. Эта технология концентрирует полный контроль над системой и системного администратора и лишает сотрудников возможности неумышленно или умышленно навредить системе.
Следующая технология - Secret Disk NG. Secret Disk New Generation (сокращенно Secret Disk NG) является средством защиты конфиденциальной информации от несанкционированного доступа и представляет из себя программно-аппаратный комплекс, осуществляющий защиту информации, хранящейся на жестком диске или ином дисковом носителе методом "прозрачного" шифрования.
При стандартной записи и обработке все файлы на диске являются открытыми и к ним легко можно получить доступ. Для записи подобного рода не используется никакая система защиты, даже если они и защищены ограничениями доступа самой операционной системой компьютера, такую защиту возможно легко обойти. Для этого можно подключить диск к операционной системе, которая не ограничивает доступ.
Если диск защищен системой Secret Disk NG, то в процессе записи данных на защищенный диск производится их шифрование с использованием алгоритма c высокой криптографической стойкостью. Все данные записываются в зашифрованном виде и для доступа к ним нужен криптографический ключ, с помощью которого была изначально зашифрована информация. Теперь он же будет служить для обратного преобразования зашифрованных данных в исходный вид [28].
В качестве антивирусного ПО компания использует Trend micro для корпоративных решений. Из плюсов данного антивируса руководитель отдела выделил централизованное управление, что позволяет следить за действиями пользователей.
Одним из самых важных пунктов является резервное копирование системы. Данные действия выполняются с помощью вложенных инструментов в системы Windows Server и Sql Server. Данные операция проводятся несколько раз в сутки. Данные механизмы необходимы для предотвращения угроз, связанные с уничтожением, блокированием или случайной утратой данных, и позволяет в короткие сроки восстановить рабочий процесс в случае реализации угрозы.
Еще один метод - уход от файловой базы данных. Для хранения информации используется Sql Server и 1С сервер. Пользователь получает доступ к определенным данным через определенные интерфейсы, которые управляются администратором. Данная технология позволяет предотвратить похищение информации путем простого копирования целой базы данных.
Последнее, что использует компания для предотвращения внутренних угроз - диспетчер удаленных приложений RemoteApp. Суть RemoteApp в том, что к любым приложениям, установленным на данном сервере, можно получить удаленный доступ с любого компьютера, подключенного к сети. В этом случае выполняться программа будет на сервере, но её окно будет прорисовываться так, если бы пользователь запустил программу с локального компьютера. Возможно сворачивать и разворачивать окно программы запущенной через RemoteApp, изменять его размеры и запускать сразу несколько программ вместе со своими локальными приложениями. Это очень удобный механизм, который может существенно облегчить администрирование некоторых программ и сократить расходы на их покупку. Также данная технология лишает пользователя доступа к посторонним программам, которые не опубликованы на сервере. [29]
2.3 Методы противодействия внешним угрозам
К методам предотвращения внешних угроз относится Firewall. В этой организации закрыты все входящие порты кроме тех, которые необходимо открыть для работы VPN сервера и работы VPN клиента. В качестве VPN клиента используется RouterOS от компании Mikro Tik. Данное ПО имеет несколько минусов. Так как продукт разработан на Linux, то постоянно находятся новые уязвимости, из-за этого ПО требует постоянного обновления.
Для обеспечения безопасности каналов связи удаленных сотрудников используется VPN сервер OpenVPN. Данный продукт обеспечивает высокий уровень безопасности передачи данных по сети интернет. Работает на сертификатах, что минимизирует риск взлома, а также из плюсов - работает на любых портах.
Для внутренней коммуникации сотрудников используется сервер обмена мгновенными сообщениями Jabber. Доступ ко всем перепискам невозможно получить, находясь вне системы. Также включает в себя собственный почтовый сервер для борьбы со спамом. Связь между различными офисами компании осуществляется через VPN туннели.
Для реализации физической безопасности предприятия используется круглосуточное видеонаблюдения, круглосуточная охрана, высокий забор с колючей проволокой, а также система контроля доступа в различные помещения с ключом rfid метка, что позволяет разграничивать права доступа к различным помещениям персонала.
Достаточно большое внимание уделено обмену информацией с офисом компании, расположенному за пределами Российской Федерации. Персональные данные клиентов различных стран хранятся и обрабатываются исключительно на серверах, расположенных в той стране, гражданами которой являются клиенты того или иного подразделения компании. Для обмена корпоративными данными об остатках и наличие товара используется sql база данных, в которой автоматически настроено обновление данных, а их передача осуществляется исключительно через VPN туннель. Данная технология обладает высокой надежностью, однако снижает скорость передачи данных.
2.4 Анализ защищенности информации в организации
Основываясь на методах защиты предприятия можно сказать, что организация максимально обезопасила себя от внешних угроз и основная опасность для безопасности системы - рядовой пользователь. По словам системного администратора организация пока что ни разу не сталкивалась с попытками взлома или проникновения в информационную систему извне системы. Именно поэтому большинство мероприятий на данный момент направлено на своевременной информирование персонала о появлении новых технологий похищения данных и лучшее информирование сотрудников о понятии информационная безопасность, а также внутренней безопасности уделено намного больше внимания, так как опять же по словам системного администратора: «Современные методы защиты информационных систем от внешних угроз предоставляют колоссальный уровень защиты и основной опасностью для предприятия является плохо проинструктированный сотрудник».
Для наглядности составим таблицу, в которой проиллюстрируем, каким образом защищается перечисленная выше информация, требующая защиты.
Угроза |
Методы противодействия угрозе |
|
Угроза несанкционированного доступа к аутентификационной информации |
Передача информации через VPN туннели, Secret Disk NG, Firewall, контроллер домена |
|
Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации |
Круглосуточная охрана, датчики движения, видеонаблюдение, система контроля доступа в различные помещения с ключом rfid метка |
|
Угроза преодоление физической защиты |
Круглосуточная охрана, датчики движения, видеонаблюдение, система контроля доступа в различные помещения с ключом rfid метка |
|
Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации |
Круглосуточная охрана, датчики движения, видеонаблюдение, система контроля доступа в различные помещения с ключом rfid метка, iStorage diskAhur |
|
Угроза несанкционированного удаления защищаемой информации |
Резервное копирование, Active Directory, терминальный сервер |
|
Угроза перехвата вводимой и выводимой на периферийные устройства информации |
Уход от файловых баз данных, использование сервиса OpenVPN для организации удаленной работы, Secret Disk NG |
|
Угроза программного выведения из строя средств хранения |
Firewall, антивирусное ПО |
|
Угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации |
Антивирусное ПО, Firewall, терминальный сервер, контроллер домена. |
|
Угроза доступа к локальным файлам сервера при помощи URL |
Антивирусное ПО, Firewall, блокировка внешних портов |
|
Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сети |
Firewall, контроллер домена, блокировка внешних портов |
|
Угроза автоматического распространения вредоносного кода в грид-системе |
Антивирусное ПО |
|
Угроза утечки информации за счет применения вредоносным программным обеспечением алгоритмов шифрования трафика |
Антивирусное ПО, резервное копирование |
|
С использованием уязвимостей протоколов сетевого взаимодействия и каналов передачи данных |
Firewall, антивирусное ПО, блокировка внешних портов, сервер обмена мгновенными сообщениями Jabber |
|
Угроза несанкционированного воздействия на средство защиты информации |
iStorage diskAhur, система контроля доступа в различные помещения с ключом rfid метка |
|
Угроза нарушения технологии обработки информации путём несанкционированного внесения изменений в образы виртуальных машин |
Резервное копирование, контроллер домена, терминальный сервер |
Исходя из слов системного администратора, компания не сталкивалась с серьезными угрозами информационной безопасности на протяжении всей ее истории. В последнее время компания стала уделять много внимания организационным мероприятиям по обучению сотрудников в области информационной безопасности. Однако, можно заметить, что из средств внутреннего мониторинга компания имеет лишь журнал операций, производимых в системе, но никакого автоматического оповещения о наличие угрозы нет. Второй проблемой системы информационной защиты организации является сосредоточение доступа к любой конфиденциальной информации и руководству компании остается доверять компетентности и репутации специалиста, ответственного за защиту информации. Тем не менее, для решения второй проблемы компания использует iStorage diskAhur. Данное устройство является жестким диском и имеет панель для ввода ПИН-кода. Данный диск использует технологию 256-битного шифрования данных и имеет возможность удаления данных при попытке несанкционированного доступа или извлечения данного диска из порта. Вся информация. Относящаяся к конфиденциальной для руководства находится на их жестком диске, тем самым ограничивая доступ к этой информации системного администратора. [27]
Основываясь на полученных данных, можно сделать вывод, что компания уделяет большое внимание системе защиты информации и смогла обезопасить себя от всех угроз, которым она может быть подвержена.
Глава 3. Рекомендации по защите информационных систем для компаний среднего и малого бизнеса
3.1 Описание программного комплекса
Поскольку для малых и средних предприятий остается актуальным вопрос проектирования оптимальной СЗИ, в данной главе будет произведена попытка создания оптимальной системы защиты информации для малых и средних предприятий, которые только недавно перешли границы и оказались средним бизнесом. Существует множество программ для проектирования СЗИ. Множество сторонних компаний предоставляют свои услуги в данной сфере. Рассмотрим некоторые из них, определим преимущества и недостатки и на их основе выберем то программное обеспечение, которое подойдет для разработки рекомендаций по защите информационных систем лучше всего.
Программный комплекс |
Преимущества |
Недостатки |
|
«Проектирование оптимальной СЗИ» |
Наличие бесплатного доступа, наличие банка угроз ФСТЭК, расчет примерной стоимости внедрения, расчет времени внедрения, расчет параметров защищенности, возможность установки желаемого уровня параметров защищенности, предварительное изучение данного программного комплекса |
Нет официального сертифицирования, доступно только для студентов курса «Управление информационной безопасностью» в НИУ ВШЭ |
|
«SafeERP» от компании SAP |
Выявляет небезопасные состояния существующей системы, анализ защищенности системы, контроль критичный программных объектов, автоматизация процесса управления безопасностью, постоянное совершенствование системы. |
Предлагается на платной основе, совершенствует существующую систему защиты информационной системы, а не разрабатывает ее с нуля. |
|
Услуги компании «Прософт-Системы» |
Проектирование и внедрение комплексных автоматизированных систем защиты, входит построение моделей угроз, оценка рисков, решения по обеспечению информационной безопасности разрабатываются в соответствии с требованиями российского законодательства, наличие необходимых лицензий ФСТЭК/ФСБ России на деятельность в области защиты информации. ... |
Подобные документы
Понятие и сущность экономической безопасности организации как внутренней самооценки и прогнозирования своего состояния; характеристика и классификация различных угроз и опасностей, пути защиты. Обеспечение кадровой и финансовой безопасности предприятия.
курсовая работа [459,7 K], добавлен 10.08.2011Общая характеристика деятельности ОАО "Альфа-Банк". Анализ теоретической базы вопроса информационной безопасности бизнеса. Выявление основных достоинств и недостатков системы обеспечения информационной безопасности бизнеса на примере ОАО "Альфа-банк".
контрольная работа [43,4 K], добавлен 08.09.2014Роль и значение информационной безопасности в экономике, анализ подходов и направлений в ее реализации. Механизмы и методы информационной безопасности. Информационные угрозы, методы и средства информационной безопасности на примере ООО "Росхлебпродторг".
курсовая работа [442,7 K], добавлен 19.07.2013Управленческие, экономические и правовые механизмы защиты финансовых интересов организации от потенциальных угроз. Принципы построения системы безопасности хозяйствующего субъекта. Основные блоки системы экономической безопасности торгового предприятия.
статья [90,7 K], добавлен 26.08.2017Изучение институциональных основ систем экономической безопасности РФ. Определение тенденций накопления угроз экономической безопасности в регионах РФ. Характеристика коррупции как угрозы национальной безопасности. Приватизация и импортная зависимость.
курсовая работа [142,8 K], добавлен 01.06.2014Последовательная характеристика современных проблем экономической безопасности предпринимательской деятельность в национальной экономике. Анализ путей и методов организации безопасности предпринимательской деятельности и её информационной составляющей.
дипломная работа [92,2 K], добавлен 02.04.2011Развитие малого и среднего бизнеса. Анализ системы государственной поддержки малого и среднего бизнеса на примере деятельности АО "Фонд развития предпринимательства "Даму" и ИП "Мурагер". Перспективы развития малого и среднего бизнеса в Казахстане.
дипломная работа [747,6 K], добавлен 16.09.2017Система экономической безопасности предприятия как составной элемент общей системы корпоративного управления бизнесом. Теоретические основы изучения системы экономической безопасности предприятия. Организация процесса защиты коммерческой тайны компании.
курсовая работа [322,0 K], добавлен 13.10.2017Понятие и критерии оценивания экономической безопасности предприятия, характеристика внешних и внутренних угроз и пути их избегания. Задачи, принципы построения и структура системы экономической безопасности предприятия, элементы и оценка эффективности.
реферат [27,1 K], добавлен 04.04.2010История развития малого и среднего бизнеса в России. Понятие и сущность малого и среднего бизнеса. Проблемы развития бизнеса в России. Государственная политика и поддержка малого и среднего бизнеса. Перспективы развития бизнеса в Ростовской области.
курсовая работа [1,6 M], добавлен 24.12.2016Сущность, проблемы и критерии экономической безопасности. Классификация угроз экономической безопасности России. Механизмы обеспечения военно-экономической и внешнеэкономической безопасности. Деятельность государства по обеспечению безопасности.
курсовая работа [74,4 K], добавлен 02.11.2014Проблемы защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз. Определение сущности экономической безопасности. Разработка и реализация политики и стратегии, формирование системы обеспечения безопасности.
реферат [227,6 K], добавлен 22.11.2010Сущность экономической безопасности государства и её содержание. Характеристика, история возникновения угроз в области экономической безопасности государства в современных условиях. Анализ внутренних и внешних угроз, меры по их нейтрализации в России.
дипломная работа [155,6 K], добавлен 26.07.2017Характеристика организационно-правовых форм малого и среднего бизнеса. Основные этапы становления малого бизнеса Казахстана. Внутрихозяйственный анализ ТОО "Дормеханизация ЛТД": технико-экономические показатели, выбор наружной рекламы, инновации.
дипломная работа [422,7 K], добавлен 15.04.2012Понятие малого бизнеса в экономической теории. Роль малого и среднего бизнеса в экономике Казахстана. Анализ состояния и динамики развития малого и среднего бизнеса, его проблемы и риски. Рейтинг проблем, препятствующих развитию предпринимательства.
презентация [2,6 M], добавлен 06.06.2012Причины угроз экономической безопасности государства, предпосылки их регионального характера. Анализ социально-экономического развития регионов России. Пути и направления построения системы экономической безопасности, оценка практической эффективности.
контрольная работа [41,6 K], добавлен 04.10.2010Развитие малого и среднего бизнеса как неотъемлемого элемента современной рыночной системы хозяйствования. Финансовое обеспечение реализации мер по развитию малого предпринимательства в Российской Федерации. Основные направления государственной поддержки.
контрольная работа [20,6 K], добавлен 02.04.2015Характеристика особенностей организации малого и среднего бизнеса в развитых странах. Изучение организационно-правовых норм малых и средних предприятий России. Основные направления государственной поддержки развития малого бизнеса в Российской Федерации.
курсовая работа [119,3 K], добавлен 26.06.2010Понятие и сравнительная характеристика малого и среднего бизнеса, принципы его функционирования и влияющие факторы, нормативно-правовые основы, состав, цели и задачи. Задачи и функции управления развитием малого и среднего бизнеса, его поддержка.
контрольная работа [27,8 K], добавлен 11.12.2014Основные угрозы экономической безопасности в реальном секторе экономики и возможности их нейтрализации. Обеспечение экономической безопасности реального сектора: политика, угрозы, опасности. Классификация основных угроз безопасности сектора экономики.
курсовая работа [861,1 K], добавлен 10.08.2011