Обеспечение информационной безопасности ООО "Партнерские технологии"
Теоретические основы обеспечения информационной безопасности. Основные угрозы безопасности организации. Предложения по нейтрализации угроз в ООО "Партнерские технологии". Правовая, организационная, инженерно-техническая, аппаратная и программная защита.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 28.02.2015 |
Размер файла | 121,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования
«Российская академия народного хозяйства и государственной службы
при Президенте Российской Федерации»
ОРЛОВСКИЙ ФИЛИАЛ
Факультет (институт) Государственное и муниципальное управление
Направление подготовки Прикладная информатика
Кафедра Информатики и информационных технологий в менеджменте
КУРСОВАЯ РАБОТА
по дисциплине: Информационная безопасность
на тему:
Обеспечение информационной безопасности ООО «Партнерские технологии»
Автор работы:
студентка 4 курса
Антонова Л.С.
Руководитель работы:
Митяев В.В.
Орел 2013г.
- Содержание
- Введение
- 1. Теоретические основы обеспечения информационной безопасности
- 1.1 Направление обеспечения информационной безопасности.
- 1.2 Основные угрозы безопасности организации
- 2. Модель организации
- 2.1 Организационная структура ООО «Партнерские технологии»
- 2.2 Используемые средства защиты в организации ООО «Партнерские технологии»
- 3. Угрозы в ООО «Партнерские технологии» и методы их устранения
- 3.1 Анализ угроз
- 3.2 Предложения по нейтрализации угроз в ООО «Партнерские технологии»
- Заключение
- Библиографический список
Введение
Каждое физическое и юридическое лицо с момента своего появления постоянно подвергается различным испытаниям. При этом объективные и субъективные обстоятельства весьма часто ставят под угрозу стратегические интересы коммерческого предприятия.
Перспектива нежелательной альтернативы неизбежно подталкивает предпринимателей к поиску и принятию адекватных решений, необходимых для достижения поставленных целей. Но на пути к ним, как правило, с определенной цикличностью возникают препятствия. В подобных условиях, надо предварительно рассчитав собственные силы и средства, спланировать свои действия таким образом, чтобы устранить возможные препятствия оптимальным способом, защитив стратегические интересы предприятия и обеспечив стабильное продвижение к избранным целям.
К стратегическим интересам следует отнести совокупность важнейших потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития предприятия.
Актуальность темы исследования курсовой работы определяется тем, что для успешной работы в условиях рыночной экономики любое предприятие должно своевременно и адекватно реагировать на возможные неблагоприятные ситуации. А для этого должен быть разработан механизм своевременного обнаружения и оперативного устранения угроз. Этот механизм должен выявлять опасности на самых ранних стадиях, когда еще возможно их устранение с минимальными затратами ресурсов и усилий. Внедрение такого механизма обеспечит устойчивость предприятия и прочность положения на рынке.
Объектом для исследования выбрано ООО «Партнерские технологии», а предметом исследования является система безопасности предприятия.
Цель работы заключается в изучении существующих способов защиты стратегических интересов предприятия, обеспечивающих устойчиво эффективное его функционирование в любых условиях.
1. Теоретические основы обеспечения информационной безопасности
Информация - сведения о событиях, процессах, явлениях, являющихся предметом передачи, хранения, распространения, преобразования.
Информационная безопасность - это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств. Закон РФ «Об участии в международном информационном обмене»( утратил силу в 2006 году в связи с вступлением в силу 149-фз)
Режим информационной безопасности - это комплекс организационных и программно-технических мер, которые должны обеспечивать следующие параметры:
*доступность и целостность информации;
*конфиденциальность информации;
*невозможность отказа от совершенных действий;
*аутентичность электронных документов.
Цель информационной безопасности - обеспечить бесперебойную работу организации и свести к минимуму ущерб от событий, несущих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму.
1.1 Направление обеспечения информационной безопасности
Направления обеспечения информационной безопасности -- это нормативно-правовые категории, ориентированные на обеспечение комплексной защиты информации от внутренних и внешних угроз. Ярочкин В.И. Безопасность информационных систем. - М.: Ось-89, 1996. -с.31
Правовая защита
Право -- это совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определенных сфер жизни и деятельности государственных органов, предприятий и населения.
Правовая защита информации как ресурса признана на международном, государственном уровне и определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту. На государственном уровне правовая защита регулируется государственными и ведомственными актами. В нашей стране такими правилами (актами, нормами) являются Конституция, законы Российской Федерации, гражданское, административное, уголовное право, изложенные в соответствующих кодексах. Что касается ведомственных нормативных актов, то они определяются приказами, руководствами, положениями и инструкциями, издаваемыми ведомствами, организациями и предприятиями, действующими в рамках определенных структур. Основы информационной безопасности. Белов Е.Б, Лось В.П. и др. - М.: Горячая линия - Телеком, 2006. - 56 с.
Специальное законодательство в области безопасности информационной деятельности может быть представлено совокупностью законов. В их составе особое место принадлежит базовому Закону «Об информации, информатизации и защите информации», который закладывает основы правового определения всех важнейших компонентов информационной деятельности:
· информации и информационных систем;
· субъектов -- участников информационных процессов;
· правоотношений производителей -- потребителей информационной продукции;
· владельцев (обладателей, источников) информации -- обработчиков и потребителей на основе отношений собственности при обеспечении гарантий интересов граждан и государства.
Этот закон определяет основы защиты информации в системах обработки и при ее использовании с учетом категорий доступа к открытой информации и к информации с ограниченным доступом. Этот закон содержит, кроме того, общие нормы по организации и ведению информационных систем, включая банки данных государственного назначения, порядка государственной регистрации, лицензирования, сертификации, экспертизы, а также общие принципы защиты и гарантий прав участников информационного процесса.
Вопросы правового режима информации с ограниченным доступом реализуются в двух самостоятельных законах о государственной и коммерческой (проект) тайнах. Кроме того, этот аспект раскрывается и в Гражданском кодексе РФ статьей 139 «Служебная и коммерческая тайна».
1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.
2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим кодексом и другими законами.
Коммерческая тайна -- не являющиеся государственными секретами сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью, разглашение, утечка и несанкционированный доступ к которой может нанести ущерб их владельцам. Ярочкин В.И. Безопасность информационных систем. - М.: Ось-89, 1996. с.45
«Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору». Гражданский кодекс РФ (ГК РФ) от 30.11.1994 N 51-ФЗ ст.139 (Утратила силу с 1 января 2008 года. - Федеральный закон от 18.12.2006 N 231-ФЗ)
Статья 727 ГК РФ, используя положение статьи 139 ГК РФ, гласит: «Если сторона, благодаря исполнению своего обязательства по договору подряда получила от другой стороны информацию о новых решениях и технических знаниях, в том числе не защищаемых законом, а также сведения, которые могут рассматриваться как коммерческая тайна (статья 139), сторона, получившая такую информацию, не вправе сообщать ее третьим лицам без согласия другой стороны.
Порядок и условия пользования такой информацией определяются соглашением сторон.»
Одним из направлений правовой защиты является страховое обеспечение. Оно предназначено для защиты собственника информации и средств ее обработки как от традиционных угроз (кражи, стихийные бедствия), так и от угроз, возникающих в ходе работы с информацией. К ним относятся: разглашение, утечка и несанкционированный доступ к конфиденциальной информации. Целью страхования является обеспечение страховой защиты физических и юридических лиц от страховых рисков в виде полного или частичного возмещения ущерба и потерь, причиненных стихийными бедствиями, чрезвычайными происшествиями в различных областях деятельности, противоправными действиями со стороны конкурентов и злоумышленников путем выплат денежной компенсации или оказания сервисных услуг (ремонт, восстановление) при наступлении страхового события. В.П. Мельников, С.А. Клейменов, А.М. Петраков. Информационная безопасность и защита информации. - М.: Академия, 2008. с. 61.
Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретной организации, разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся:
1. Положение о сохранении конфиденциальной информации;
2. Перечень сведений, составляющих конфиденциальную информацию;
3. Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;
4. Положение о делопроизводстве и документообороте;
5. Перечень сведений, разрешенных к опубликованию в открытой печати;
6. Положение о работе с иностранными фирмами и их представителями;
7. Обязательство сотрудника о сохранении конфиденциальной информации;
8. Памятка сотруднику о сохранении коммерческой тайны.
Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе, и в случае их нарушения должны приниматься соответствующие меры воздействия. Черкасов В.Н. Бизнес и безопасность. Комплексный подход. - М.: Армада-пресс, 2001. - 121 с.
Организационная защита
Организационная защита -- это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. В.П. Мельников, С.А. Клейменов, А.М. Петраков. Информационная безопасность и защита информации. - М.: Академия, 2008. с. 64.
Организационная защита обеспечивает:
1. организацию охраны, режима, работу с кадрами, с документами;
2. использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы или сводили к минимуму возможность возникновения опасности конфиденциальной информации. Драга А.А. Обеспечение безопасности предпринимательской деятельности. - М.: Издательство МГТУ им. Н. Э. Баумана. 2004. - 304 с
К основным организационным мероприятиям можно отнести:
1. организацию режима и охраны. Их цель -- исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;
2. организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
3. организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;
4. организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
5. организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
6. организацию работы по проведению систематического контроля над работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.
В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.
Специфической областью организационных мер является организация защиты ПК, информационных систем и сетей. Организация защиты ПК, информационных систем и сетей определяет порядок и схему функционирования основных ее подсистем, использование устройств и ресурсов, взаимоотношения пользователей между собой в соответствии с нормативно-правовыми требованиями и правилами. Защита информации на основе организационных мер играет большую роль в обеспечении надежности и эффективности, так как несанкционированный доступ и утечка информации чаще всего обусловлены злоумышленными действиями, небрежностью пользователей или персонала. Эти факторы практически невозможно исключить или локализовать с помощью аппаратных и программных средств, криптографии и физических средств защиты. Поэтому совокупность организационных, организационно-правовых и организационно-технических мероприятий, применяемых совместно с техническими методами, имеют цель исключить, уменьшить или полностью устранить потери при действии различных нарушающих факторов. Макаренко С. И. Информационная безопасность. Ставрополь: СФ МГГУ им. М. А. Шолохова, 2009. с.65
Организационные средства защиты ПК и информационных сетей применяются:
· при проектировании, строительстве и оборудовании помещений, узлов сети и других объектов информационной системы, исключающих влияние стихийных бедствий, возможность недозволенного проникновения в помещения и др.;
· при подборе и подготовке персонала. В этом случае предусматриваются проверка принимаемых на работу, создание условий, при которых персонал был бы заинтересован в сохранности данных, обучение правилам работы с закрытой информацией, ознакомление с мерами ответственности за нарушение правил защиты и др.;
· при хранении и использовании документов и других носителей (маркировка, регистрация, определение правил выдачи и возвращения, ведение документации и др.);
· при соблюдении надежного пропускного режима к техническим средствам, к ПК и информационным системам при сменной работе (выделение ответственных за защиту информации в сменах, контроль за работой персонала, ведение (возможно и автоматизированное) журналов работы, уничтожение в установленном порядке закрытых производственных документов);
· при внесении изменений в программное обеспечение (строгое санкционирование, рассмотрение и утверждение проектов изменений, проверка их на удовлетворение требованиям защиты, документальное оформление изменений и др.);
· при подготовке и контроле работы пользователей.
Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера. Галатенко В.А. Основы информационной безопасности. - ИНТУИТ. РУ "Интернет-университет Информационных Технологий", 2006. - 112 с.
Организационные меры являются решающим звеном формирования и реализации комплексной защиты информации и создания системы безопасности предприятия.
Инженерно-техническая защита информации
Инженерно-техническая защита -- это совокупность специальных органов, технических средств и мероприятий по их использованию в целях защиты конфиденциальной информации. По функциональному назначению средства инженерно-технической защиты делятся на следующие группы:
1. физические средства, включающие различные средства и сооружения,
препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий;
2. аппаратные средства. К ним относятся приборы, устройства,
приспособления и другие технические решения, используемые в интересах защиты информации. Основная задача аппаратных средств -- обеспечение стойкой защиты информации от разглашения, утечки, а также несанкционированного доступа через технические средства обеспечения производственной деятельности; Защита информации. Конфидиент: Информационно-методический журнал. - М.: Конфидиент, 2002, №43
3. программные средства, охватывающие специальные программы,
программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбора, накопления, хранения, обработки и пере дачи) данных;
4. криптографические средства -- это специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования. Нестеров С. А. Информационная безопасность и защита информации: учеб. пособие/ С. А. Нестеров. - СПб. : Изд-во Политехн. ун-та, 2009. -с.35
Физические средства защиты
Физические средства защиты -- это разнообразные устройства, приспособления, конструкции, аппараты, изделия, предназначенные для создания препятствий на пути движения злоумышленников. Галатенко В.А. Основы информационной безопасности. - ИНТУИТ. РУ "Интернет-университет Информационных Технологий", 2006. - с. 122 К физическим средствам относятся механические, электромеханические электронные, электронно-оптические, радио- и радиотехнические и другие устройства для защиты от несанкционированного доступа (входа выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий. Эти средства применяются для решения следующих задач:
1. охрана территории предприятия и наблюдение за ней;
2. охрана зданий, внутренних помещений и контроль за ними;
3. охрана оборудования, продукции, финансов и информации;
4. осуществление контролируемого доступа в здания и помещения.
Все физические средства защиты объектов можно разделить на три категории: средства предупреждения, средства обнаружения и системы ликвидации угроз. Охранные сигнализации и охранное телевидение, например, относятся к средствам обнаружения угроз; заборы вокруг объектов -- это средства предупреждения несанкционированного проникновения на территорию, а усиленные двери, стены, потолки, решетки на окнах и другие меры служат защитой и от проникновения и от других преступных действий. Средства пожаротушения относятся к системам ликвидации угроз. А.А. Хорев «Способы и средства защиты информации» с.25
Аппаратные средства защиты
К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям технические конструкции, обеспечивающие пресечение разглашения, защиту от утечки информации и противодействие несанкционированному доступу к источникам конфиденциальной информации.
Аппаратные средства защиты информации применяются для решения следующих задач:
· проведение специальных исследований технических средств
обеспечения производственной деятельности на наличие возможных каналов утечки информации;
· выявление каналов утечки информации на разных объектах и в
помещениях;
· локализация каналов утечки информации;
· поиск и обнаружение средств промышленного шпионажа;
· противодействие несанкционированному доступу к источникам
конфиденциальной информации и другим действиям.
Аппаратные средства защиты информации -- это различные технические устройства, системы и сооружения, предназначенные для защиты информации от разглашения, утечки и несанкционированного доступа. Корнюшин П.Н., Костерин С.С. «Информационная безопасность» с.26
Программные средства защиты.
Системы защиты компьютера от чужого вторжения весьма разнообразны и классифицируются, как:
· средства собственной защиты, предусмотренные общим программным
обеспечением;
· средства защиты в составе вычислительной системы;
· средства защиты с запросом информации;
· средства активной защиты;
· средства пассивной защиты и другие.
Можно выделить следующие направления использования программ для обеспечения безопасности конфиденциальной информации:
· защита информации от несанкционированного доступа;
· защита информации от копирования;
· защита программ от копирования;
· защита программ от вирусов;
· защита информации от вирусов;
· программная защита каналов связи.
Для защиты от чужого вторжения обязательно предусматриваются определенные меры безопасности. Основные функции, которые должны осуществляться программными средствами, это:
· идентификация субъектов и объектов;
· разграничение доступа к вычислительным ресурсам и информации;
· контроль и регистрация действий с информацией и программами. Скиба В. Ю., Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности, СпБ, Питер, 2008. - 69 с.
Можно отметить следующие формы контроля и разграничения доступа, нашедшие широкое применение на практике:
1. Предотвращение доступа:
1) к жесткому диску;
2) к отдельным разделам;
3) к отдельным файлам;
4) к каталогам;
5) к гибким дискам;
6) к сменным носителям информации.
2. Установка привилегий доступа к группе файлов.
3. Защита от модификации:
1) файлов;
2) каталогов.
4. Защита от уничтожения:
1) файлов;
2) каталогов.
5. Предотвращение копирования:
1) файлов;
2) каталогов;
3) прикладных программ.
6. Затемнение экрана по истечении времени, установленного пользователем. Нестеров С. А. Информационная безопасность и защита информации: учеб. пособие/ С. А.Нестеров. - СПб. : Изд-во Политехн. ун-та, 2009. - с. 121
1.2 Основные угрозы безопасности организации
Угрозы безопасности информации и их источники
Наиболее опасными угрозами безопасности информации автоматизированной системы организации являются:
*нарушение конфиденциальности (разглашение, утечка) сведений, составляющих банковскую или коммерческую тайну, а также персональных данных;
*нарушение работоспособности автоматизированной системы организации, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
*нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов автоматизированной системы организации, а также фальсификация документов. Абалмазов Э. И. «Методы и инженерно-технические средства противодействия информационным угрозам» стр. 57
Основными источниками угроз безопасности информации автоматизированной системы организации являются:
· непреднамеренные нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия сотрудников структурных подразделений организации при эксплуатации автоматизированной системы организации, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности отдельных рабочих станций, подсистем или автоматизированной системы в целом;
· преднамеренные действия сотрудников подразделений организации, допущенных к работе с автоматизированной системой организации, а также сотрудников подразделений организации, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты и обеспечения безопасности информации;
· воздействия из других логических и физических сегментов автоматизированной системы организации со стороны сотрудников других подразделений организации, а также удаленное несанкционированное вмешательство посторонних лиц из телекоммуникационной сети организации и внешних сетей общего назначения через легальные и несанкционированные каналы подключения сети организации к таким сетям, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам автоматизированной системы организации;
· деятельность международных и отечественных преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности системы в целом и ее отдельных компонент;
· деятельность разведывательных служб, направленная против интересов организации;
· ошибки, допущенные при проектировании автоматизированной системы организации и ее системы защиты, ошибки в программном обеспечении, отказы и сбои технических средств автоматизированной системы организации;
· аварии, стихийные бедствия и т.п. Ярочкин В.И. «Информационная безопасность» стр.25
Таким образом, можно сделать вывод о том, решение вопросов защиты данных в автоматизированной системе организации будет успешным только при условии использования комплексного подхода к построению системы обеспечения безопасности информации, так как комплексный подход направлен на целый спектр угроз: нарушение целостности, конфиденциальности и доступности информации, а так же незаконное проникновение в здание организации с целью причинения ущерба.
2. Модель организации
2.1 Организационная структура ООО «Партнерские технологии»
информационный безопасность угроза правовой
В качестве объекта для исследования и обеспечения информационной безопасности выбрано ООО «Партнерские Технологии». Оно представляет собой предприятие, главная деятельность которого - аутсорсинговые услуги по ведению бухгалтерского и налогового учета.
Организация взаимодействует с большим числом различных предприятий города и имеет доступ к их конфиденциальным сведениям, таким как бухгалтерская и налоговая отчетность, персональные данные сотрудников обслуживаемых предприятий, коммерческая тайна предприятия.
На предприятии имеется 10 рабочих мест, а так же собственный сервер.
ООО «Партнерские технологии» территориально располагается в республике Бурятия. Данный регион является сейсмоактивной зоной, что следует учитывать при построении системы информационной безопасности.
Топология сети в ООО «Партнерские технологии»
В ООО «Партнерские технологии» все компьютеры подключены вдоль одного кабеля. Такая топология называется «шиной». (Рисунок 1)
В сети с топологией «шина» компьютеры адресуют данные конкретному компьютеру, передавая их по кабелю в виде электрических сигналов. Олифер В.Г., Олифер Н.А.,Компьютерные сети. Принципы, технологии, протоколы, 2-е изд., СПб, Питер-пресс, 2006. 48 с.
Данные в виде электрических сигналов передаются всем компьютерам сети; однако информацию принимает только тот, адрес которого соответствует адресу получателя, зашифрованному в этих сигналах. Причем в каждый момент времени только один компьютер может вести передачу. Так как данные в сеть передаются лишь одним компьютером, ее производительность зависит от количества компьютеров, подключенных к шине. Чем их больше, т.е. чем больше компьютеров, ожидающих передачи данных, тем медленнее сеть.
Основные плюсы топологии «шина»:
1. Шина - самая дешевая топология.
2. Шина наиболее проста для установки.
3. При выходе из строя одного из терминалов сеть продолжает функционировать.
Основные минусы топологии «шина»:
1. При необходимости одновременной передачи данных несколькими компьютерами сильно падает скорость передачи данных.
2. При повреждении общей сетевой магистрали полноценная работа шины нарушается.
3. Отсутствие в шине промежуточного усиления сигнала. Петраков А.В. Основы практической защиты информации. 3-е изд. Учебное пособие - М.: Радио и связь, 2007.43 с. 154
Рисунок 1 - Топология «шина»
В подсистемах автоматизированной системы организации используется информация различных уровней секретности (конфиденциальности), которая содержит открытые сведения, а также сведения ограниченного распространения (служебная коммерческая, персональные данные, банковская информация). Бизнес-планирование: Учебник / Под ред. В. М. Попова и С. И. Ляпунова. - М.: Финансы и статистика, 2002. - 125 с.
В документообороте автоматизированной системы присутствуют:
· расчетно-денежные документы;
· отчеты (финансовые, аналитические и др.);
· сведения о лицевых счетах;
· обобщенная информация(ограниченного распространения).
· и т.д.
Защите подлежит вся информация, которая используется в автоматизированной системе организации и содержит:
· сведения, составляющие коммерческую тайну, доступ к которым ограничен собственником информации организации в соответствии с правами, предоставленными Федеральным законом «Об информации, информатизации и защите информации»;
· сведения, составляющие банковскую тайну, доступ к которым ограничен в соответствии с Федеральным законом «О банках и банковской деятельности»;
· сведения о частной жизни граждан (персональные данные), доступ к которым ограничен в соответствии с Федеральным законом «Об информации, информатизации и защите информации».
2.2 Используемые средства защиты в организации ООО «Партнерские технологии»
На предприятии ООО «Партнерские технологии» на данный момент реализован ряд мероприятий по обеспечению информационной безопасности.
Организационные мероприятия:
1. Доступ в кабинет руководителя в его отсутствие осуществляется только в присутствии секретаря. Ключ от помещений хранится у секретаря.
2. Доступ в помещение имеет лишь персонал организации и клиенты, заключившие договор на оказание услуг с предприятием.
3. Посетители, ожидающие приема, находятся в приемной под присмотром секретаря. Ожидающим запрещено проходить дальше приемной без разрешения руководителя организации.
4. Вход людей в здание осуществляется через контрольно-пропускной пункт.
Правовые мероприятия:
1. Существуют инструкции для сотрудников, допущенных к защищаемым сведениям;
2. Утверждены должностные обязанности руководителей, специалистов и служащих предприятия;
3. Существует положение о порядке обращения с информацией;
4. Разработана памятка пользователя АС.
Программно-аппаратные меры:
1.На компьютерах сотрудников установлены операционная система - Windows 7, офисное приложение - MS Office 2007, антивирусное программное обеспечение - Kaspersky Anti-Virus, 1С «Бухгалтерия».
2.На компьютерах установлена программа регистрации входа/выхода, а также всех произведенных действий с учетом времени.
Таким образом, можно сделать вывод о том, что в ООО «Партнерские технологии» используются различные системы защиты информации, но их использование не обеспечивает полной защиты и не учитывает все факторы риска. Система безопасности организации нуждается в усовершенствовании.
3. Угрозы в ООО «Партнерские технологии» и методы их устранения
3.1 Анализ угроз
Опасность утечки информации в предприятии ООО «Партнерские технологии» могут оказывать как внешние, так и внутренние источники угроз.
К внутренним источникам угроз можно отнести:
- неумелые действия персонала;
- несоблюдение требований безопасности при обращении с информацией, представляющей ценность;
- разглашение конфиденциальной информации (умышленное или неумышленное)
- несоблюдение пропускного режима на территорию предприятия.
К внешним источникам угроз можно отнести:
- действия конкурирующих фирм;
- компьютерные вирусы и вредоносные программы;
- стихийные бедствия (предприятие находится в сейсмоактивной зоне). Гафнер В. В. Информационная безопасность : учеб. - Ростов н/Д : Феникс, 2010. - 114 с.
Наибольшую опасность в ООО «Партнерские технологии» представляет оптический канал утечки информации. Связано это с тем, что практически вся информация может быть представлена в визуальном виде, неважно, что это: бумажные документы или электронный документ, отображённый на экране монитора. Следовательно, любая эта информация может быть сфотографирована. А развитие современных средств фотографии привело к тому, что даже на очень большом расстоянии изображение имеет высокое разрешение.
При организации защиты информации следует помнить об этом и предусмотреть использование злоумышленником нескольких каналов утечки информации.
3.2 Предложения по нейтрализации угроз в ООО «Партнерские технологии»
При построении системы защиты необходимо учитывать все каналы утечки информации. Всегда следует помнить, что злоумышленник не обязательно может получить весь объем конфиденциальной информации, используя только какой-либо один канал. Следовательно, нужно обеспечивать блокирование каналов утечки комплексно. Черкасов В.Н. Бизнес и безопасность. Комплексный подход. - М.: Армада-пресс, 2001. - 96 с.
Для того чтобы предотвратить утечку информации по оптическим каналам необходимо использовать ряд организационных мер:
· На время проведения конфиденциальных совещаний, а также переговоров с клиентами жалюзи должны закрываться;
· При приёме посетителей на столе не должно находиться конфиденциальных документов, если в этом нет необходимости;
· Монитор не должен быть развёрнут экраном к окну;
· Во время проведения конфиденциальных совещаний дверь должна быть плотно закрыта. Так же возможно поставить около двери доверенного сотрудника компании, например, секретаря.
Необходимо усовершенствовать систему ответственности для персонала, чтобы пресечь разглашение конфиденциальной информации сотрудниками.
Рекомендуется провести сегментирование сети для упрощения управления защитой. Например, доверенным пользователям в каждом сегменте можно дать полномочия определять и реализовывать правила и процедуры безопасности, в то время как администратор сохраняет контроль над коммуникациями между сегментами. Ограничение доступа пользователя данным сегментом не решает все проблемы информационной безопасности, но позволяет свести их к минимуму. Макаренко С. И. Информационная безопасность. Ставрополь: СФ МГГУ им. М. А. Шолохова, 2009. - 79 с.
Для отслеживания посещений рекомендуется использовать журнал учета для записи всех посетителей, а так же разработать пропускную систему с использованием магнитных ключей для сотрудников ООО «Партнерские технологии».
Для повышения надежности сети рекомендуется изменить топологию «шина» на топологию «звезда». В сетях с топологией «звезда» подключение кабеля и управление конфигурацией сети централизованны (Рисунок 2). Если из строя выйдет один компьютер (или кабель, соединяющий его с концентратором), то лишь этот компьютер не сможет передавать или принимать данные по сети. На остальные компьютеры в сети это не повлияет.
Рисунок 2 - Топология сети «звезда»
Для обеспечения целостности и конфиденциальности информации необходимо регулярно обновлять антивирусные базы.
Помимо этого, учитывая, что ООО «Партнерские технологии» находится в сейсмоактивной зоне, рекомендуется использовать корпуса серверов в сейсмоустойчивом исполнении.
Таким образом, можно говорить о том, что организация должна провести ряд мер для усовершенствования защиты своей информации. Это позволит усовершенствовать существующую систему защиты и уменьшить влияние различных угроз.
Заключение
Для выбора оптимальных средств обеспечения информационной безопасности в организации был проведен анализ угроз безопасности организации. Проведена оценка эффективности существующей системы безопасности. Существующая система безопасности в ООО «Партнерские технологии» нуждается в доработке. Чтобы обеспечить наиболее полную защиту, необходимо обратить внимание на наиболее уязвимые места организации: контрольно-пропускной пункт, принадлежность к сейсмоактивной зоне, топологию сети, антивирусную защиту, дисциплину сотрудников.
Система безопасности организации будет эффективной только в случае комплексного подхода к обеспечению безопасности и устранению различных каналов утечки информации.
Библиографический список
1. Закон РФ «Об участии в международном информационном обмене»
a. ( утратил силу в 2006 году в связи с вступлением в силу 149-фз)
2. Гражданский кодекс РФ (ГК РФ) от 30.11.1994 N 51-ФЗ ст.139 (Утратила силу с 1 января 2008 года. - Федеральный закон от 18.12.2006 N 231-ФЗ)
3. Афонин И.В. Управление развитием предприятия: Стратегический менеджмент, инновации, инвестиции, цены: Учебное пособие М.: Издательско-торговая корпорация "Дашков и Ко", 2002. - 380с.
4. Бендиков М.А. Экономическая безопасность промышленного предприятия в условиях кризисного развития // Менеджмент в России и за рубежом, 2000 -№2
5. Бизнес-планирование: Учебник / Под ред. В. М. Попова и С. И. Ляпунова. - М.: Финансы и статистика, 2002. - 672 с.
6. Вихорев С., Кобцев Р. Как определить источники угроз.//Открытые системы. - 2006. - №07-08.- С.43.
7. Галатенко В.А. Основы информационной безопасности. - ИНТУИТ. РУ "Интернет-университет Информационных Технологий", 2006. - 208 с.
8. Гафнер В. В. Информационная безопасность : учеб. - Ростов н/Д : Феникс, 2010. - 324 с.
9. Драга А.А. Обеспечение безопасности предпринимательской деятельности. - М.: Издательство МГТУ им. Н. Э. Баумана.2004.- 304 с.
10. Емельянова Н.З., Партыка Т.А., Попов И. Основы построения автоматизированных информационных систем: учебное пособие для студ. СПО. М.: Форум; Инфра-М, 2009. 416 с.
11. Защита информации. Конфидиент: Информационно-методический журнал. - М.: Конфидиент, 2002, №43.
12. Люкшинов А.Н. Стратегический менеджмент: Учебное пособ. для вузов М.: ЮНИТИ- ДАНА, 2000. - 375 с.
13. Макаренко С. И. Информационная безопасность. Ставрополь: СФ МГГУ им. М. А. Шолохова, 2009. - 372 с.
14. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. Пособие для вузов.- М.: Горячая линия-Телеком, 2004. - 89 с.
15. Мельников В. П. Информационная безопасность и защита информации: учебное пособие для студ. высш. учеб. Заведений. - Издательский центр Академия, 2008. - 332 с.
16. Мур А., Хиарнден К. Руководство по безопасности бизнеса: Практическое пособие по управлению рисками. - М.: Информационно-издательский дом «Филинъ», 1998. - 328 с.
17. Некрасова М. Наша служба безопасна...// БОСС, 2003 - №8
18. Нестеров С.А. Информационная безопасность и защита информации: учеб. пособие/ С. А.Нестеров. - СПб. : Изд-во Политехн. ун-та, 2009. - 126 с
19. Олифер В.Г., Олифер Н.А.,Компьютерные сети. Принципы, тех-нологии, протоколы, 2-е изд., СПб, Питер-пресс, 2006. 54 с.
20. Основы информационной безопасности. Белов Е.Б, Лось В.П. и др. - М.: Горячая линия - Телеком, 2006. - 544 с.
21. Петраков А.В. Основы практической защиты информации. 3-е изд. Учебное пособие - М.: Радио и связь, 2007.43 с.
22. Петренко С.А., Курбатов В.А. Политики информационной безопасности. - М.: Компания АйТи, 2006. - 400 с.
23. Скиба В. Ю., Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности, СпБ, Питер, 2008. 65 с
24. Судоплатов А.П., Лекарев С.В. Безопасность предпринимательской деятельности: Практическое пособие. - М.: ОЛМА-ПРЕСС, 2001.-382 с.
25. Трояновский В. М. Математическое моделирование в менеджменте. Учебное пособие. 2-е изд., испр. и доп. - М:. Издательство РДЛ, 2000. - 256с.
26. Управление организацией: Учебник / Под ред. А.Г. Поршнева, З.П. Румянцевой, Н.А. Саломатина. 2-е изд., перераб. и доп. - М.: ИНФРА-М, 1998. - 305 с.
27. Фатхутдинов Р.А. Стратегический менеджмент: Уч-к для вузов. - М.: ЗАО "Бизнес-школа","Интел-Синтез", 2003 - 416
28. Черкасов В.Н. Бизнес и безопасность. Комплексный подход. - М.: Армада-пресс, 2001. - 384 с.
29. Экономика и организация безопасности хозяйствующих субъектов: Учебник. Под редакцией В.С. Гусева. - СПб.: ИД «Очарованный странник», 2001. -256 с.
30. Экономическая стратегия фирм. Под редакцией Н.Н. Градова. - СПб.: Спецлитература, 1995. - 400 с.
31. Ярочкин В.И. Безопасность информационных систем. - М.: Ось-89, 1996. - 137 с.
32. Ярочкин В.И. Предприниматель и безопасность. - М.: Ось-89, 1994. - 230 с.
33. Ярочкин В.И. Служба безопасности коммерческого предприятия. - М.: Ось-89, 1995. - 300 с.
34. Ярочкин В.И., Бузанова Я.Н. Недобросовестная конкуренция. - М.: Ось-89, 2000. - 245 с.
35. Ярочкин В.И. Информационная безопасность. - М.:Академический Проект, 2008. - 544.
Размещено на Allbest.ru
...Подобные документы
Исследование системы безопасности предприятия ООО "Информационное партнерство". Организационная структура компании, направления обеспечения информационной безопасности. Используемые средства защиты; методы нейтрализации и устранения основных угроз.
курсовая работа [149,1 K], добавлен 18.08.2014Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Основные понятия, методы и технологии управления рисками информационной безопасности. Идентификация риска, активов, угроз, уязвимостей, существующих контролей, последствий. Оценка и снижение риска. Примеры типичных угроз информационной безопасности.
презентация [223,8 K], добавлен 11.04.2018Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.
статья [15,9 K], добавлен 24.09.2010Обеспечение информационной безопасности в современной России. Анализ методов защиты информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Изучение правового обеспечения информационной безопасности.
контрольная работа [27,8 K], добавлен 26.02.2016Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.
курсовая работа [269,0 K], добавлен 24.04.2015Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Анализ методических подходов к оценке эффективного обеспечения безопасности объектов информационной инфраструктуры государства (ИИГ). Описание системы мероприятий по нейтрализации (минимизации) угроз объектам ИИГ и величины их возможного ущерба.
статья [19,8 K], добавлен 17.08.2017Основные принципы и условия обеспечения информационной безопасности. Защита информации от несанкционированного и преднамеренного воздействия, от утечки, разглашения и иностранной разведки. Цели, задачи и принципы системы ИБ. Понятие политики безопасности.
презентация [118,4 K], добавлен 19.01.2014Основные понятия в сфере информационной безопасности. Характер действий, нарушающих конфиденциальность, достоверность, целостность и доступность информации. Способы осуществления угроз: разглашения, утечки информации и несанкционированного доступа к ней.
презентация [396,6 K], добавлен 25.07.2013Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.
контрольная работа [30,5 K], добавлен 18.09.2016Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
курсовая работа [57,4 K], добавлен 13.11.2009Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
реферат [51,5 K], добавлен 20.01.2014Стратегия информационной безопасности предприятия в виде системы эффективных политик, которые определяли бы эффективный и достаточный набор требований безопасности. Выявление угроз информационной безопасности. Внутренний контроль и управление рисками.
курсовая работа [351,0 K], добавлен 14.06.2015Классификация каналов проникновения в систему и утечки информации. Требования к технологиям информационной безопасности. Аутентификация, основанная на использовании цифровой подписи. Технологии защиты от вирусов. Симметричные криптосистемы шифрования.
диссертация [3,9 M], добавлен 17.05.2015Состояние защищенности информации и информационной среды от случайных или преднамеренных воздействий. Цели информационной безопасности, классификация угроз. Обеспечение конфиденциальности, целостности, доступности информации; правовая защита человека.
презентация [487,2 K], добавлен 11.04.2016Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.
дипломная работа [2,5 M], добавлен 10.06.2011Постоянный рост темпов развития и распространения информационных технологий. Концепции информационной безопасности. Объектами защиты на предприятии. Структура, состав и принципы обеспечения информационной безопасности. Постоянный визуальный мониторинг.
реферат [78,4 K], добавлен 23.07.2013