Размещено на http://www.allbest.ru/

Государственное бюджетное профессиональное образовательное учреждение

"Михайловский профессионально-педагогический колледж имени В.В.Арнаутова"

КУРСОВАЯ РАБОТА

по дисциплине «Информационная безопасность»

на тему: «Совершенствование системы информационной безопасности муниципального казенного общеобразовательного учреждения "Средняя школа № 7 городского округа город Михайловка Волгоградской области"»

Разработчик (выполнил): Игнатьева Елена

Специальность 09.02.03 «Программирование в

компьютерных системах»

Руководитель: Писарев Максим Михайлович

Михайловка, 2022



Содержание

Введение

1. Анализ системы информационной безопасности на предприятии

1.1 Характеристика

1.2 Организационная структура предприятия

1.3 Служба по вопросам защиты информации

1.4 Анализ и характеристика информационных ресурсов предприятия

1.5 Угрозы информативной безопасности характерные для предприятия

1.6 Основные угрозы информационной безопасности

1.7 Методы и средства защиты информации на предприятии

2. Совершенствование системы информационной безопасности

2.1 Недостатки в системе защиты информации

2.2 Цели и задачи информационной безопасности

2.3 Мероприятия и средства по совершенствованию информационной

2.4 Эффективность предложенных мероприятий

3. Модель информационной системы с позиции безопасности

Заключение

Список использованной литературы



Введение

информационный безопасность угроза предприятие

В современности информационная безопасность один из главных принципов для отношений в обществе. Общественность, как и бизнес, должна, помимо раскрытия и донесения нужной информации, еще и обезопасить ту информацию, которая имеет особый вес и секретность. Но, много информации скрывается государством за «шторами секретности». Хотелось слышать всегда бы ту информацию, которая может быть и горькая, но правильная и не ложная. Но, безопасность, она на то и безопасность, чтоб уберечь и сохранить одну волну и не затронуть те темы, которые не являются достоверными. Существует много законов и правил подачи информации и термины безопасности. О них, о правилах, основах и законах информационной безопасности я хочу написать в своей контрольной работе. Просмотрев журналы, прочитав несколько учебников и газет о политике, обществе и информации сложилось много выводов и конечно, как и в любой науке - вопросов. О глубоком анализе писать рано, недостаточно опыта, но есть анализ того, что на самом деле касается жизненных ситуаций, и, конечно связей с обществом и информацией.

Исходя из цели курсового проекта, можно выделить следующие задачи:

- анализ информационной системы предприятия;

- анализ действующей системы информационной;

- выявление угроз информационной безопасности;

- выявление недостатков системы информационной безопасности;

- разработка рекомендаций по исправлению выявленных недостатков.

Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.

На практике важнейшими являются три аспекта информационной безопасности:

- доступность (возможность за разумное время получить требуемую информационную услугу);

- целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

- конфиденциальность (защита от несанкционированного прочтения).

Нарушения доступности, целостности и конфиденциальности информации могут быть вызваны различными опасными воздействиями на информационные компьютерные системы.

Термин - «информационная безопасность» имеет много характеристик. Это и состояние защищённости информационной среды, и защита информации, представляющая собой деятельность по предотвращению утечки защищаемой информации, процесс, направленный на достижение этого состояния. Информационная безопасность организации - это состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

Всемирная тенденция к объединению компьютеров в сети обусловлена рядом важных причин, таких как ускорение передачи информационных сообщений, возможность быстрого обмена информацией между пользователями, получение и передача сообщений не отходя от рабочего места, возможность мгновенного получения любой информации из любой точки земного шара, а так же обмен информацией между компьютерами разных фирм и производителей, работающих под разным программным обеспечением. В каждой организации уже есть хотя бы автоматизирована система бухгалтерского учета - все это и многое другое разрабатывается, обрабатывается и хранится при помощи компьютеров. А для передачи данных используются компьютерные сети. Само собой разумеется, такая информация может быть интересна для конкурирующих организаций, а значит, появляется проблема ее защиты.

Выделяют три основных вида угроз безопасности - это угрозы раскрытия, целостности и отказа в обслуживании.

Угроза раскрытия заключается том, что информация становится известной тому, кому не следовало бы ее знать. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен доступ к некоторой конфиденциальной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда вместо слова "раскрытие" используются термины "кража" или "утечка".

Угроза целостности включает в себя любое умышленное изменение (модификацию или даже удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую. Обычно считается, что угрозе раскрытия подвержены в большей степени государственные структуры, а угрозе целостности - деловые или коммерческие.

Угроза отказа в обслуживании возникает всякий раз, когда в результате некоторых действий блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан.

Защиту сети можно организовать программным и аппаратным способами. В первом случае на обычный компьютер устанавливается специальная программа, которая контролирует всю поступающую и отправляемую информацию. Этот способ относительно дешев, но в таком случае необходим достаточно грамотный специалист, который будет следить за функционированием защиты, периодически обновлять ее. Поэтому затраты на обслуживание и сопровождение будут высокими. Аппаратный способ предполагает установку специального конечного устройства защиты сети. 

1. Анализ системы информационной безопасности на предприятии

1.1 Характеристика предприятия

• Муниципальное бюджетное образовательное учреждение «Средняя общеобразовательная школа № 7 города Михайловки Волгоградской области» расположено в центре города Михайловки, в одном из густонаселенных микрорайонов, ограниченных улицами Обороны, Энгельса, Республиканской и 2-й Краснознаменской. В микрорайоне довольно развитая образовательная инфраструктура: две детские библиотеки, школа искусств № 3, ДЮСШ №1,2, Центр детского творчества, Станция юных техников, Социально- досуговый центр, выставочный зал, школа-детсад «Аленький цветочек», ДОУ «Светлячок», «Ромашка», имени П.А.Юдина, МБОУ «СОШ №5», комнаты школьников.
• Муниципальное казенное общеобразовательное учреждение «Средняя школа №7 городского округа город Михайловка Волгоградской области» 403343, Волгоградская область, г. Михайловка, ул. Энгельса д. 19.
• 1.2 Организационная структура предприятия

Образовательная организация представляет собой сложную социально- экономическую систему, для описания которой как объекта управления необходимо определить ее состав и структуру, характер взаимодействия с внешней средой, взаимосвязи ее подсистем (элементов организационной структуры) и взаимоотношения индивидов внутри организации.

На уровне взаимодействия организации с внешней средой может реализовываться механистический либо органический подход, взаимодействие подсистем внутри организации строится на основе отношений иерархии, разделении труда и специализации, функциональных зависимостей, системы вертикальных и горизонтальных связей и механизмов координации, взаимодействие индивидов в организации находит отражение в ее идеологии и обуславливает ее индивидуалистический или корпоративный характер.

По мере разделения, специализации труда и обособления функций управления возникает необходимость в создании организационных структур управления (от лат. structura -- строение, расположение, порядок), выступающих одним из ключевых понятий менеджмента. В литературе приводится множество трактовок данного понятия, которые отражают сложность и многозначность этой категории.

Под организационной структурой управления обычно понимают упорядоченную совокупность устойчиво взаимосвязанных элементов, обеспечивающих функционирование и развитие организации как единого целого.

Она отражает характер связей и отношений между подсистемами и элементами организации, а также состав этих подсистем и элементов, каждому из которых соответствует определенная функция. Наконец, организационная структура -- это поведенческая система, это люди, группы и отдельные индивиды, постоянно вступающие в различные взаимоотношения для решения общих задач. Свойства структуры организации во многом определяют ее поведение.

Структурированность является свойством любой системы. Элементы системы образуют целое благодаря способу их объединения и связям между ними. Структура есть результат процесса организации, отражающий выбранный менеджером способ упорядочения элементов конкретной системы. Структура и система тесно связаны, структура характеризует конкретную систему со стороны ее строения, пространственно-временного расположения частей, устойчивых взаимосвязей между ее элементами. Благодаря структуре система воспроизводит себя.

Представляя собой определенную упорядоченность функций, задач, трудовых и социальных ролей, полномочий и ответственности, организационная структура создаст условия для осуществления организацией своей деятельности и достижения установленных целей. Структуры организаций отличаются друг от друга сложностью, формализацией, соотношением централизации и децентрализации. Они развиваются и изменяются под воздействием множества факторов, совершенствуется в соответствии с меняющимися условиями функционирования системы.

Рис. 1.1 Структура общеобразовательного учреждения

1.3 Служба по вопросам защиты информации

На данный момент в предприятии «Средняя школа № 7 городского округа город Михайловка Волгоградской области» отсутствует.

1.4 Анализ и характеристика информационных ресурсов

Информационные ресурсы - совокупность данных для получения достоверной информации обо всех сферах деятельности предприятия, под информационными ресурсами принято понимать всю документацию характеризующую деятельность предприятия. Но не всегда за информационные ресурсы могут приниматься документы, в наше время наш быт оснащен последними разработками в сфере коммуникаций, предприятия и организации также не отстают от прогресса.

Информация, которая необходима для стабильной работы, берется извне через различные источники коммуникаций. Для ознакомления потребителей и партнеров у компании есть свой сайт в сети интернет, при помощи которого можно напрямую выйти на руководителя компании и узнать всю доступную информацию о работе предприятия.

Информация, относящаяся к коммерческой тайне:

- заработная плата,

- сведения о финансовой деятельности организации.

Защищаемая информация:

- личные дела работников,

- трудовые договора,

- личные карты работников,

- содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности,

- прочие разработки и документы для внутреннего пользования;

Открытая информация:

- буклеты,

- информация на web-сайте,

- учредительный документ,

- устав,

- стоимость обучения.



1.5 Угрозы информационной безопасности характерные для предприятия

Хакерские атаки рассматриваются на международном уровне как часть единой глобальной угрозы, связанной с цифровизацией общества. От внешних нападений не избавлены даже небольшие компании, особенно если они являются поставщиками или подрядчиками крупных корпораций и оперируют в своей деятельности данными, способными заинтересовать злоумышленников. Но и интернет-магазины или небольшие поставщики интернет-услуг не избавлены от DDoS-атак, способных полностью заблокировать каналы связи и сделать сервис недоступным для клиентов.

Среди актуальных внешних угроз информационной безопасности:

- кража конфиденциальной информации путем взлома информационной системы или подключения к плохо защищенным каналам связи. От утечек информации наилучшим способом защищают DLP-системы, но не все предприятия малого и среднего бизнеса имеют возможность использовать их ресурсы в полном объеме;

- кража персональных данных при помощи собственных средств аутентификации и передача их посредникам на черном рынке информации. Этот тип угроз наиболее характерен для банков и организаций сферы услуг, обрабатывающих большой объем клиентской информации;

- кража инсайдерами коммерческой тайны по запросам конкурентов, наиболее часто воруют базы данных клиентов организации;

- DDoS-атаки, направленные на обрушение каналов коммуникации. Они делают сайт предприятия недоступным, что оказывается критичным для организации, продающей товары или оказывающей услуги в Интернете;

- вирусные заражения. В последнее время наиболее опасны вирусы-шифровальщики, делающие информацию в системе недоступной и разблокирующие ее за выкуп. Иногда, чтобы исключить возможность отслеживания, хакеры требуют выплатить им вознаграждение в криптовалютах;

- дефайс сайта. При этом типе хакерской атаки первая страница ресурса заменяется иным контентом, иногда содержащим оскорбительные тексты;

- фишинг. Этот способ совершения компьютерных преступлений основан на том, что злоумышленник направляет письмо с адреса, идентичного привычному для корреспондента, побуждая зайти на свою страницу и ввести пароль и иные конфиденциальные данные, в результате чего они похищаются;

- спам, блокирующий входящие каналы связи и мешающий отслеживать важную корреспонденцию;

- инструменты социальной инженерии, побуждающие сотрудников компании переводить ресурсы в пользу опытного мошенника;

- потеря данных из-за аппаратных сбоев, неисправности техники, аварий, стихийных бедствий.

Общий список угроз остается неизменным, а технические средства их реализации совершенствуются постоянно.

Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.

На практике важнейшими являются три аспекта информационной безопасности:

- доступность (возможность за разумное время получить требуемую информационную услугу);

- целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

- конфиденциальность (защита от несанкционированного прочтения).

Нарушения доступности, целостности и конфиденциальности информации могут быть вызваны различными опасными воздействиями на информационные компьютерные системы.

1.6 Основные угрозы информационной безопасности

Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной системы можно разбить на следующие группы:

Аппаратные средства. Это компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - принтеры, контроллеры, кабели, линии связи и т.д.);

Программное обеспечение. Это приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;

Данные,хранимые временно и постоянно, на дисках, флэшках, печатные, архивы, системные журналы и т.д.;

Персонал. Пользователи, системные администраторы, программисты и др.

Опасные воздействия на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы. Причинами случайных воздействий при эксплуатации могут быть:

- аварийные ситуации из-за стихийных бедствий и отключений электропитания;

- отказы и сбои аппаратуры;

- ошибки в программном обеспечении;

- ошибки в работе персонала;

- помехи в линиях связи из-за воздействий внешней среды.

Преднамеренные воздействия - это целенаправленные действия нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть обусловлены разными мотивами:

- недовольством служащего своей карьерой;

- взяткой;

- любопытством;

- конкурентной борьбой;

- стремлением самоутвердиться любой ценой.

Можно составить гипотетическую модель потенциального нарушителя:

- квалификация нарушителя на уровне разработчика данной системы;

- нарушителем может быть как постороннее лицо, так и законный пользователь системы;

- нарушителю известна информация о принципах работы системы;

- нарушитель выбирает наиболее слабое звено в защите.

Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ. Несанкционированный доступ использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке.

Проведем классификацию каналов несанкционированного доступа, по которым можно осуществить хищение, изменение или уничтожение информации:

Через человека:

- хищение носителей информации;

- чтение информации с экрана или клавиатуры;

- чтение информации из распечатки.

Через программу:

- перехват паролей;

- дешифровка зашифрованной информации;

- копирование информации с носителя.

Через аппаратуру:

- подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации;

- перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д.

Особо следует остановиться на угрозах, которым могут подвергаться компьютерные сети. Основная особенность любой компьютерной сети состоит в том, что ее компоненты распределены в пространстве. Связь между узлами сети осуществляется физически с помощью сетевых линий и программой с помощью механизма сообщений. При этом управляющие сообщения и данные, пересылаемые между узлами сети, передаются в виде пакетов обмена. Компьютерные сети характерны тем, что против них предпринимают так называемые удаленные атаки. Нарушитель может находиться за тысячи километров от атакуемого объекта, при этом нападению может подвергаться не только конкретный компьютер, но и информация, передающаяся по сетевым каналам связи.



1.7 Методы и средства защиты информации на предприятии

Методами обеспечения защиты информации являются следующие: препятствие, управление доступом, маскировка, регламентация, принуждение и побуждение.

Препятствие -- метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. п.).

Управление доступом -- метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы организации (фирмы). Управление доступом включает следующие функции защиты:

- идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);

- аутентификацию (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

- проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

- разрешение и создание условий работы в пределах установленного регламента;

- регистрацию (протоколирование) обращений к защищаемым ресурсам;

- реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

Маскировка -- метод защиты информации в автоматизированной информационной системе путем ее криптографического закрытия.

Регламентация -- метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму.

Принуждение -- такой метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение -- такой метод защиты информации, который побуждает пользователей и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм.

Указанные выше методы обеспечения информационной безопасности организации (фирмы) реализуются на практике применением различных механизмов защиты, для создания которых используются следующие основные средства: физические, аппаратные, программные, аппаратно-программные, криптографические, организационные, законодательные и морально-этические.

Физические средства защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информационной системы предприятия и реализуются в виде автономных устройств и систем.

Наряду с традиционными механическими системами при доминирующем участии человека разрабатываются и внедряются универсальные * автоматизированные электронные системы физической защиты, предназначенные для охраны территорий, охраны помещений, организации пропускного режима, организации наблюдения; системы пожарной сигнализации; системы предотвращения хищения носителей.



2. Совершенствование системы информационной безопасности

2.1 Недостатки в системе защиты информации

Самым уязвимым местом в системе безопасности можно назвать сотрудников предприятия и программно - аппаратные средства. В частности не выполняется резервное копирование данных на персональных компьютерах при отказах оборудования некоторые важные данные могут быть потеряны; не выполняется обновление операционной системы MS Windows XP и использующегося ПО, что может привести к несанкционированному доступу к хранящейся на ПК информации или её повреждению из-за ошибок в ПО; доступ сотрудников к ресурсам Интернета не контролируется, из-за этого может произойти утечка данных; деловая электронная переписка ведётся через Интернет по незащищённым каналам, сообщения электронной почты хранятся на серверах почтовых служб в Интернете; некоторые сотрудники имеют недостаточные навыки работы с автоматизированными системами, используемыми в академии, что может привести к появлению в системе неверных данных; сотрудники имеют доступ к персональным компьютерам своих коллег, что по неосторожности может привести к потере данных; доступ в архив имеют все сотрудники факультета, в результате чего некоторые личные дела могут быть потеряны или их поиск может занять длительное время; отсутствуют нормативные документы по безопасности.

Главной целью системы информационной безопасности является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов предприятия от противоправных посягательств, недопущение разглашения, утраты, утечки, искажения и уничтожения служебной информации и персональной информации, обеспечение нормальной производственной деятельности всех подразделений объекта.

Некоторые из угроз информационной безопасности, такие как несанкционированное получение доступа, некорректная работа программного обеспечения или технические сбои, достаточно успешно нейтрализуются грамотной настройкой и администрированием сети, однако мер для предотвращения внутренних угроз не существует.

В процессе анализа существующей системы информационной безопасности были выделены следующие недостатки:

- Пароли не отвечают требованиям сложности или у некоторых сотрудников просто не используются.

- Отсутствуют ограничения по форматам и размерам передаваемых данных через интернет (*.mp3,*.avi,*.rar) для определенных сотрудников.

- Некоторые сотрудники хранят конфиденциальную информацию в общедоступных папках просто из-за собственной невнимательности, а так же хранят логин / пароль от информационных систем требующих авторизации в легкодоступных местах на рабочем столе.

Идентифицировать и оценить активы, разработать модель нарушителя и модель угроз, идентифицировать уязвимости - все это стандартные шаги, описание которых должно присутствовать в любой методике анализа рисков. Все перечисленные шаги могут выполняться с различным уровнем качества и детализации. Очень важно понять, что и как можно сделать с огромным количеством накопленной информации и формализованными моделями. На наш взгляд, этот вопрос наиболее важен, и ответ на него должна давать используемая методика анализа рисков.

Полученные результаты необходимо оценить, агрегировать, классифицировать и отобразить. Так как ущерб определяется на этапе идентификации и оценки активов, необходимо оценить вероятность событий риска. Как и в случае с оценкой активов, оценку вероятности можно получить на основании статистики по инцидентам, причины которых совпадают с рассматриваемыми угрозами ИБ, либо методом прогнозирования - на основании взвешивания факторов, соответствующих разработанной модели угроз.

Хорошей практикой для оценки вероятности станет классификация уязвимостей по выделенному набору факторов, характеризующих простоту эксплуатации уязвимостей. Прогнозирование вероятности угроз проводится уже на основании свойств уязвимости и групп нарушителей, от которых исходят угрозы.

2.2 Цель и задачи системы информационной безопасности

Целями обеспечения информационной безопасности в ИС являются:

- достижение состояния защищенности жизненно важных интересов государства от различных угроз в сфере формирования, распространения и использования информационных ресурсов;

- обеспечение прав граждан на получение, использование и распространение информации;

- обеспечение информированности общества, необходимой для успешного функционирования всех его структур;

- предотвращение нарушений прав граждан и организаций на сохранение конфиденциальности и секретности информации;

- обеспечение условий, препятствующих преднамеренному искажению или сокрытию информации при отсутствии для этого законных оснований.

Задачами обеспечения информационной безопасности в ИС являются:

- выявление и прогнозирование внутренних и внешних угроз информационной безопасности, разработка и осуществление комплекса адекватных и экономически обоснованных мер по их предупреждению и нейтрализации;

- формирование единой политики государственной власти и субъектов России по обеспечению информационной безопасности в ИС;

- совершенствование и стандартизация применяемых методов и средств защиты информации в ИС;

- создание и реализация механизма государственного регулирования (лицензирования) деятельности в области защиты информации, а также обеспечение функционирования системы сертификации ИС и входящих в их состав защищенных технических средств, средств защиты информации и средств контроля эффективности принятых мер защиты.

2.3 Мероприятия и средства по совершенствованию системы информационной безопасности

Направления и меры по развитию системы защиты информации в ОУ.

Для того, чтобы предотвратить несанкционированный доступ третьих лиц к информации, которая передаётся по локальной сети школы, необходимо ограничить непосредственный доступ к вычислительной системе в целом. Для этого в учреждении нужно настроить средства управления доступом к локальной сети с учетом контроля прав доступа к ЛВС.

Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты (пользователи, процессы) могут выполнять над объектами (информацией и другими компьютерными ресурсами).

Контроль прав доступа производится разными компонентами программной среды - ядром операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением и т.д.

Рассмотренные способы защиты, предоставляются сетевым программным обеспечением. Но существует много других возможностей защитить сетевую информацию от постороннего вторжения. Вот несколько вариантов подобной защиты:

Все компьютеры сети должны быть расположены в надежных и безопасных местах.

Если в сети установлен модем, позволяющий пользователю получать доступ к системе с удаленного компьютера, то посторонних вторжений можно ожидать и со стороны модема. В данном случае необходимо, чтобы каждый идентификатор пользователя был защищен паролем.

Кроме сетевого программного обеспечения для эффективной защиты информации обрабатываемой, хранящейся и циркулирующей в локальной сети школы можно использовать следующие программы:

- Программы Firewall

- Антивирусные средства (Антивирус Касперского)

- Программы антиспама

- На практике нами было проделано следующее:

- настройка антивирусной программы;

- разграничение прав доступа к ЛВС;

- установка локальных и административных учетных записей;

- консультация учеников и родителей к доступу в систему Дневник.ру.

Так как в образовательном учреждении локальная вычислительная сеть открытая с предоставление доступа к сети Интернет, для предотвращения доступа к школьной информации третьих лиц, а так же контроля доступа к информационным ресурсам учеников школы, в кабинете информатики нами была проведена работа по установке и настройке антивирусной программы Кaspersky Еndpoint Security 10 для образовательных организаций. На каждом компьютере в кабинете информатики были выполнены настройки родительского контроля, который позволяет предотвратить доступ к запрещенным ресурсам. С помощью использования правила доступа веб-ресурсам «родительский контроль» мы ограничили доступ к локальной сети.

Кроме того, были выполнены на каждом компьютере настройки адреса Dns - сервера, которые дополнительно проводят фильтрацию доступа ко всемирной паутине учащихся на школьных компьютерах.

Для разграничения доступа к информации Учитель-ученик через локальную сеть на каждом компьютере учителя были настроены учетные записи, в которых учетная запись для учителя является администратором компьютера. Для полного запрета к школьной информации для учащихся, учетные записи на компьютерах учителей были оснащены паролями, каждому сотруднику был назначен его пароль.

Для того что бы разграничить доступ к информации администрации школы, сотрудников и учеников нами были проведены настройки доступа для каждой категории участников образовательного процесса. Например, для учеников открыт доступ только к локальному диску D в кабинете информатики на компьютере учителя, где находятся только файлы и документы, необходимые для работы учеников. Учителя могут получить доступ через ЛВС только к общим документам на компьютере делопроизводителя, а также обмениваться информацией между собой при условии правильного ввода пароля учетной записи компьютера, на который передаётся или копируется информация.

С целью предоставления родителям и ученикам доступа к электронному дневнику, предварительно администратором электронного журнала был проведен мониторинг активности родителей и учеников. Затем на родительских собраниях с помощью классных руководителей были присвоены логины и временные пароли от системы Дневник.ру. Для уточнения данных родителей в электронном журнале авторизация проходит через портал ЕСИА

Таким образом, используя сетевое программное обеспечение и дополнительные программы, мы можем усовершенствовать систему защиты информации в образовательной организации, а также информацию, циркулирующую в локальной сети школы, можно защитить от ее использования третьими лицами.

2.4 Эффективность предложенных мероприятий

Эффективность системы ИБ и труда администраторов средств информационной безопасности будет чрезвычайно низкой при отсутствии средств сбора, анализа, хранения информации о состоянии системы ИБ, централизованного управления всеми ее составляющими. Дело в том, что каждое средство защиты реализует некоторую составляющую политики безопасности, которая на уровне подсистем задается набором параметров и требований. Политике ИБ должны соответствовать не только каждая подсистема или средство защиты, но и система ИБ в целом. Отслеживание работоспособности компонентов системы, примененных правил и других событий в системе ИБ требует наличия средств мониторинга и управления. Для проведения анализа собираемых данных, построения отчетов и принятия управляющих решений необходимы средства мониторинга, аудита и генерации отчетов.

В рамках курсового проекта была проанализирована информационная безопасность предприятия, были предложены мероприятия по ее улучшению. Реализация мероприятий позволит:

- Разграничить права доступа в систему.

- Повысить уровень защищенности информации каждого пользователя в отдельности и системы в целом.

- Разработать и внедрить политику информационной безопасности, которая будет направлена на защиту информации и ассоциированных с ней ресурсов.

- Уменьшить количество спама.

- Отражать вредоносные атаки через сеть.

- Повысить уровень защиты рабочих станций.



3. Модель информационной системы с позиции безопасности

Представленная модель информационной безопасности - это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности в Средней школе №3 городского округа города Михайловка и на сохранность материальных или информационных ресурсов. Информационная модель представлена в виде IDEF0 диаграммы, первого (рисунок 2) и второго (рисунок 3) уровня декомпозиции.

Рис. 1.2 Диаграмма уровня А-0 "Обеспечение информационной безопасности"

Главным объектом угрозы безопасности является входная информация, физические угрозы и программные или сетевые угрозы. При занесении информации в систему, происходит анализ полученной информации и распределяется на обработанную информацию и выявленные угрозы. Уже обработанная информация распределяется по уровням защиты, в ходе данного этапа информация вновь проверяется уже средствами для защиты.

Появившиеся угрозы проверяются, если они безопасны, то создается отчет о событиях, а если нет, то данные обрабатываются средствами защиты, иногда требуется внимание системного администратор для подтверждения проверки, и на конечном итоге получается защищенная информация.

Рис. 1.2 Диаграмма уровня А-1 "Обеспечение информационной безопасности



Заключение

Прежде всего, проблема информационной безопасности - это проблема выбора человека - выбора воспринимаемой информации, поведения в обществе и государстве, выбора круга общения. Необходимо точное понимание и опознавание себя в мире, в обществе, осознания целей и средств для их достижения, сознательно обрабатывать информацию и транслировать только проверенную, точную и объективную информацию.

Информация, бесспорно, выступает основой всего процесса управления в организации, труд управленца и заключается в ее сборе, изучении, обработке и грамотном толковании. От уровня организации сбора, обработки и передачи информации в целом зависит эффективность управления, а так же качество принимаемых управленческих решений в частности.

Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в хозяйственный оборот, и их назначение понятно каждому. Но вот появилось понятие "информационные ресурсы", и хотя оно узаконено, но осознано пока еще недостаточно. Информационные ресурсы - отдельные документы и отдельные массивы, документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Информационные ресурсы являются собственностью, находятся в ведении соответствующих органов и организаций, подлежат учету и защите, так как информацию можно использовать не только для товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или, что еще хуже, уничтожить. Собственная информация для производителя представляет значительную ценность, так как нередко получение (создание) такой информации - весьма трудоемкий и дорогостоящий процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми доходами.

В условиях постоянного роста количества известных и появления новых видов информационных угроз перед крупными предприятиями всё чаще встаёт задача обеспечения надёжной защиты корпоративных сетей от вредоносных программ и сетевых атак.

Итак, информационная безопасность предприятия - это состояние защищённости корпоративных данных, при которой обеспечивается их конфиденциальность, целостность, аутентичность и доступность. Обеспечение информационной безопасности предприятия возможно только при системном и комплексном подходе к защите. В системе ИБ должны учитываться все актуальные компьютерные угрозы и уязвимости.

Полноценная информационная безопасность предприятий и организаций подразумевает непрерывный контроль в реальном времени всех важных событий и состояний, влияющих на безопасность данных. Защита должна осуществляться круглосуточно и круглогодично и охватывать весь жизненный цикл информации - от её поступления или создания до уничтожения или потери актуальности.

Приведенные методические рекомендации дают возможность для наиболее рационального и эффективного использования, обработки, хранения информации для повышения качества обеспечения информационной безопасности предприятия в целом.



Список литературы

1. Виды и источники угроз информационной безопасности [Электронный ресурс]. Режим доступа: http://infoprotect.net/note/vidyi_i_istochniki_ugroz_informacionnoy_bezopasnosti .02.05.2018

2. Безопасность офиса. Современные решения [Электронный ресурс] / Д. А. Полухина // Директор по безопасности: электронный научный журнал. Режим доступа: http://www.s-director.ru/magazine/magdocs/view/136.html. 24.04.2018

3. Информационная система. Википедия [Электронный ресурс]. Режим доступа: https://ru.wikipedia.org/wiki/ Информационная_система. 02.05.2018

4. Роль информационной безопасности в современном мире [Электронный ресурс]. Режим доступа: https://searchinform.ru/informatsionnayabezopasnost/ osnovy-ib/ib-v-rossii-i-mire/. 02.05.2018

5. Средства обеспечения информационной безопасности от вредоносного ПО [Электронный ресурс]. Режим доступа: http://www.livesafety.ru/content/notes/information_security.php?ELEMENT_ID=16 79 -- 02.05.2018 5 Блинов, А.М. Информационная безопасность. Учебное пособие / А.М. Блинов. СПб.: Изд-во СПбГУЭФ, 2010. 96 с.

6. Информационное право. Статья: Виды информационных систем [Электронный ресурс]. Режим доступа: https://studme.org/57478/pravo/vidy_informatsionnyh_sistem. 02.05.2018.

7. Приходько А. Я. Информационная безопасность в событиях и фактах / А. Я. Приходько. М.: СИНТЕГ, 2001. С. 187-193.

8. Конявский, В.А Развитие средств технической защиты информации / В. А. Конявский // Комплексная защита информации. Сборник материалов XII Международной конференции (13-16 мая 2008 г., Ярославль (Россия)). М., 2008. С. 109-113.)

Размещено на Allbest.ru

...