Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Министерство образования и науки Российской Федерации
Федеральное государственное бюджетное образовательное учреждение
высшего профессионального образования
«Пермский национальный исследовательский
политехнический университет»
контрольная работа
по информационной безопасности
тема: Информационная безопасность
на предприятии ООО «Арт»
выполнила студентка гр.СП-10С
А.С Блинова
Проверил преподаватель:
Каримов Р.М
Пермь 2012г.
|
[1] Оглавление
[2]
[3] [3.1] 1.1 Понятие информационной безопасности. [3.2] 1.2 Угрозы информационной безопасности
[4] [4.1] 2.1Характеристика ООО «Арт» [4.2] 2.2 Возможный ущерб наступающий в результате несанкционированного распространения сведений, составляющих коммерческую тайну. [4.3] 2.3 Анализ случая утечки информации на данном предприятии [4.4] 2.4 Затраты на защиту сведений, относящихся к коммерческой тайне [4.5] 2.5 Меры по защите информации на ООО «Арт» [5] ЗАКЛЮЧЕНИЕ [6] СПИСОК ЛИТЕРАТУРЫ |
Актуальность проблемы защиты информации сегодня не вызывает сомнений. Успех современной компании и ее развитие в условиях острой конкуренции в значительной степени зависят от применения информационных технологий, а следовательно, от степени обеспечения информационной безопасности.
Любое предприятие располагает различными видами информации, представляющими интерес для злоумышленников. Прежде всего, это коммерческие данные, информация, являющаяся интеллектуальной собственностью предприятия и конфиденциальные данные.
Поэтому защите информации от неправомерного овладения ею отводится весьма значительное место. При этом "целями защиты информации являются: предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствие с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения".
Как видно из этого определения целей защиты, информационная безопасность - довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита.
Для того чтобы отразить подход организации к защите своих информационных активов необходимо разработать политику информационной безопасности. Каждое предприятие должно осознать необходимость поддержания соответствующего режима безопасности и выделения на эти цели значительных ресурсов.
Политика информационной безопасности - свод документов, в которых рассматриваются вопросы организации, стратегии, методов и процедур в отношении конфиденциальности, целостности и доступности информационных ресурсов предприятия. Политика безопасности строится на основе анализа рисков - процесса определения угроз безопасности системы и отдельным ее компонентам, определение их характеристик и потенциального ущерба.
Конечная цель разработки политики информационной безопасности - обеспечить целостность, доступность и конфиденциальность для каждого информационного ресурса.
Обследуемое предприятие ООО «Арт» циркулирует большое количество информации конфиденциального характера, доступ к которой необходимо ограничить. Поэтому, целью будет являться разработка такой системы по защите информации, при которой угрозы утечки конфиденциальной информации будут минимальны.
Приемы и способы исследования.
При изучении всей структуры предприятия использовались следующие методы:
Аналитический метод - основан на анализе собранной информации за конкретный период. Он включает: анализ конкретного рабочего процесса, разделение его на элементы, проектирование рациональных режимов работы оборудования, организации труда и необходимых затрат времени по элементам трудового процесса, установление норм на операции.
Сбор (изучение) документооборота - сбор документов осуществлялся на всех этапах проведения обследования. Документы являются обоснованием и обеспечением создаваемой модели деятельности и документооборота.
Интервьюирование - важнейший и необходимый метод обследования, только с его помощью возможно разобраться во всех тонкостях применяемых на предприятии технологий. Современное предприятие - сложнейшая система, как оно функционирует, не знает ни один человек. Интервьюирование являлось наиболее сложной задачей: необходимо найти контакт с сотрудником и направить беседу в необходимое для аналитика русло.
На основе собранной информации проводился анализ информационной безопасности предприятия.
Термин «информация» разные науки определяют различными способами. Так, например, в философии информация рассматривается как свойство материальных объектов и процессов сохранять и порождать определённое состояние, которое в различных вещественно-энергетических формах может быть передано от одного объекта к другому. В кибернетике информацией принято называть меру устранения неопределённости. Под информацией в дальнейшем будет пониматься всё то, что может быть представлено в символах конечного (например, бинарного) алфавита.
Такое определение может показаться несколько непривычным. В то же время оно естественным образом вытекает из базовых архитектурных принципов современной вычислительной техники. Действительно, мы ограничиваемся вопросами информационной безопасности автоматизированных систем – а всё то, что обрабатывается с помощью современной вычислительной техники, представляется в двоичном виде.
Предметом рассмотрения являются автоматизированные системы. Под автоматизированной системой обработки информации (АС) понимается совокупность следующих объектов:
Информационная безопасность АС рассматривается как состояние системы, при котором:
Система способна противостоять дестабилизирующему воздействию внутренних и внешних угроз. Функционирование и сам факт наличия системы не создают угроз для внешней среды и для элементов самой системы. На практике информационная безопасность обычно рассматривается как совокупность следующих трёх базовых свойств защищаемой информации:
Деятельность, направленную на обеспечение информационной безопасности, принято называть защитой информации.
Методы обеспечения информационной безопасности весьма разнообразны. Сервисы сетевой безопасности представляют собой механизмы защиты информации, обрабатываемой в распределённых вычислительных системах и сетях.
Инженерно–технические методы ставят своей целью обеспечение защиты информации от утечки по техническим каналам – например, за счёт перехвата электромагнитного излучения или речевой информации.
Правовые и организационные методы защиты информации создают нормативную базу для организации различного рода деятельности, связанной с обеспечением информационной безопасности.
Теоретические методы обеспечения информационной безопасности, в свою очередь, решают две основных задачи. Первая из них – это формализация разного рода процессов, связанных с обеспечением информационной безопасности. Так, например, формальные модели управления доступом позволяют строго описать все возможные информационные потоки в системе – а значит, гарантировать выполнение требуемых свойств безопасности. Отсюда непосредственно вытекает вторая задача – строгое обоснование корректности и адекватности функционирования систем обеспечения информационной безопасности при проведении анализа их защищённости. Такая задача возникает, например, при проведении сертификации автоматизированных систем по требованиям безопасности информации.
При формулировании определения информационной безопасности АС было упомянуто понятие угрозы. Остановимся на нём несколько подробнее.
Заметим, что в общем случае под угрозой принято понимать потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. В свою очередь, угроза информационной безопасности автоматизированной системы - это возможность реализации воздействия на информацию, обрабатываемую в АС, приводящего к нарушению конфиденциальности, целостности или доступности этой информации, а также возможность воздействия на компоненты АС, приводящего к их утрате, уничтожению или сбою функционирования.
Классификация угроз может быть проведена по множеству признаков. Далее приведены наиболее распространённые из них. По природе возникновения принято выделять естественные и искусственные угрозы.
Естественными принято называть угрозы, возникшие в результате воздействия на АС объективных физических процессов или стихийных природных явлений, не зависящих от человека. В свою очередь, искусственные угрозы вызваны действием человеческого фактора.
Примерами естественных угроз могут служить пожары, наводнения, цунами, землетрясения и т.д. Неприятная особенность таких угроз – чрезвычайная трудность или даже невозможность их прогнозирования.
По степени преднамеренности выделяют случайные и преднамеренные угрозы.
Случайные угрозы бывают обусловлены халатностью или непреднамеренными ошибками персонала. Преднамеренные угрозы обычно возникают в результате направленной деятельности злоумышленника.
В качестве примеров случайных угроз можно привести непреднамеренный ввод ошибочных данных, неумышленную порчу оборудования. Пример преднамеренной угрозы – проникновение злоумышленника на охраняемую территорию с нарушением установленных правил физического доступа.
В зависимости от источника угрозы принято выделять:
По положению источника угрозы выделяют:
По степени воздействия на АС выделяют пассивные и активные угрозы.
Пассивные угрозы при реализации не осуществляют никаких изменений в составе и структуре АС. Реализация активных угроз, напротив, нарушает структуру автоматизированной системы. Примером пассивной угрозы может служить несанкционированное копирование файлов с данными.
По способу доступа к ресурсам АС выделяют:
Критерии классификации угроз можно продолжать, однако на практике чаще всего используется следующая основная классификация угроз, основывающаяся на трёх введённых ранее базовых свойствах защищаемой информации:
Отмечено, что реальные угрозы информационной безопасности далеко не всегда можно строго отнести к какой-то одной из перечисленных категорий. Так, например, угроза хищения носителей информации может быть при определённых условиях отнесена ко всем трём категориям.
Сфера деятельности: производство художественных изделий. Число занятых на предприятии 23 человека. Основное направление деятельности предприятия: производство художественных изделий (гравюры на металле, резьба по дереву).Общая площадь 300 м2, складское помещение 56 м2, производственное помещение 150 м2 , остальная площадь используется управленческим аппаратом, финансовым и коммерческим отделами, бухгалтерией.
Появляются (или искусственно создаются конкурентами) трудности в закупках сырья, технологии, оборудования. Фирма не выполняет договорные обязательства перед Покупателями (сроки, объемы). Теряет престиж на рынке.
Ограничивается сотрудничество предприятия с деловыми партнерами, снижается вероятность заключения выгодных контрактов, возникают проблемы в выполнении договорных обязательств. Уменьшение объема производства и реализации продукции ведет к недополучению прибыли, увеличению условно-постоянных расходов.
Простой и форсирование производства оборачивается дополнительными расходами по заработной плате с отчислениями на социальное страхование, санкциями. Приобретение сырья и материалов у других поставщиков сопровождается дополнительными расходами.
Разглашение об используемых технологиях может привести к необходимости изменения ассортимента изготавливаемой продукции, что ведет к большим расходам.
Посредством подкупа должностных лиц путем оплаты по трудовым соглашениям за выполнение работы по техническому обслуживанию компьютерной техники фирмы конкурента появилась возможность через компьютерную сеть с помощью паролей доступа к внутренней сети данной компании (предоставленными вышеназванными должностными лицами) получать финансовою информацию о состоянии расчетов с поставщиками и потребителями, условиями контрактов (ценами, объемами, условиями оплаты).
Утечка информации была обнаружена сообщением компьютера о подключении дополнительного пользователя к компьютеру одного из сотрудников финансового отдела данной фирмы. Было проведено служебное расследование. Утечка информации привела к оттоку части потребителей, потери поставщиков.
Причинами утечки информации стали:
Условия, которые создали возможность утечки информации:
После проведения должностного расследования приведены в соответствие должностные инструкции, проблема защиты информации проработана с каждым членом коллектива.
Трудовые затраты:
Создание дополнительных рабочих мест службы безопасности:
Материальные затраты:
приобретение и установка:
Финансовые затраты:
оплата услуг:
Для данного предприятия в целях создания комплексной системы защиты информации целесообразно создание собственной службы безопасности.
Цели функционирования службы:
Для этого необходимо:
1. четкое определение круга лиц, имеющих доступ к определенным сведениям, относящихся к коммерческой тайне в силу занимаемого служебного положения.
2. разработка и периодическое обновление внутрифирменных нормативных документов, регламентирующих систему защиты информации:
должностные инструкции разрабатываются на основе следующих документов - для управленческого аппарата, коммерческого отдела, производственного отдела ГОСТ Р-6.30.97, конституция Российской Федерации, трудовой кодекс;
для финансового отдела и бухгалтерии трудовой кодекс, закон о бухгалтерском учете (№ 129-ФЗ от 21.11.96 г.)
Создание памятки содержащей законы, регламентирующие ответственность за разглашение коммерческой тайны УК РФ глава 28 ст. 272 «неправомерный доступ к компьютерной информации» наказывается штрафом от 200-500 мрод либо лишением свободы на срок до 5 лет, в соответствии с ч. 2 п. 2 ст. 139 ГК РФ возлагается обязанность возместить убытки.
3. создание системы охраны территории предприятия: организация пропускного режима, т.е контроль за посещениями предприятия посторонними лицами, в не рабочее время организация охраны имущества силами вневедомственной охраны.
4. организация делопроизводства с документами, содержащими коммерческую тайну - документы находятся в отдельном, охраняемом кабинете, выдаются под роспись в соответствии с допуском ответственным лицом, для документов определяется срок хранения по истечении которого документы уничтожаются.
5. контроль за средствами копирования и размножения документов, к средствам копирования отсутствует свободный доступ, назначается ответственное лицо из финансового отдела, которое регламентирует возможность копирования документов.
6. организация защиты информации в вычислительной технике
Система защиты оградит информационные ресурсы сети от наиболее распространенных типов атак как внешних, так и внутренних, направленных на вывод из строя серверов и уничтожения данных, от нежелательного проникновения в локальные вычислительные сети через "дыры" в операционных системах или трудно устранимые недостатки применяемых технологий, от целенаправленного вторжения в систему с целью получения конфиденциальной информации.
Выбор оптимальной стратегии защиты данных - очень сложная задача. Сегодня актуальным и эффективным является именно комплексный подход к построению системы информационной безопасности. Защита отдельных компонент не обеспечит безопасность информационной структуры организации в целом. В основе разработки комплексной системы безопасности лежит принцип создания последовательных рубежей защиты. На практике это означает - выделение ключевых направлений и создание целостной системы защиты, в которой каждое звено является надежно защищенным и гарантирует обеспечение безопасности всей сети.
Цель функционирования корпоративной системы защиты информации СЗИ - обеспечение защиты информации, обрабатываемой, передаваемой, хранимой в ИС, от преднамеренного или непреднамеренного разрушения, искажения и несанкционированного доступа, а также пресечение попыток нарушения целостности информации и работоспособности ИС.
Основные функции корпоративной СЗИ:
Выделяются следующие основные направления в области обеспечения информационной безопасности организации:
1.разработка концепции информационной безопасности организации;
2. защита организаций от взломов через Интернет;
3.защита Web-серверов;
4. обеспечение доступности сетевых служб и серверов;
5. защита от несанкционированного доступа.
Главной целью любой системы информационной безопасности является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов Заказчика от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений объекта. Другой целью системы информационной безопасности является повышение качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.
Достижение заданных целей возможно в ходе решения следующих основных задач:
- отнесение информации к категории ограниченного доступа (служебной тайне);
- прогнозирование и своевременное выявление угроз безопасности информационным ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;
- создание условий функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;
- создание механизма и условий оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;
- создание условий для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения информационной безопасности на достижение стратегических целей.
В целом необходимо оценивать или переоценивать уровень текущего состояния информационной безопасности предприятия, вырабатывать рекомендации по обеспечению (повышению) информационной безопасности предприятия, снижать потенциальные потери предприятия или организации путем повышения устойчивости функционирования корпоративной сети, разрабатывать концепцию и политику безопасности предприятия, а также предлагать планы защиты конфиденциальной информации предприятия, передаваемой по открытым каналам связи, защиты информации предприятия от умышленного искажения (разрушения), несанкционированного доступа к ней, ее копирования или использования.
1. Девисилов, В.А. Охрана труда [Текст]: учебник / В.А. Девисилов. -М.: ФОРУМ: ИНФРА-М, 2005. - 2005. - 400 с.: ил. - (Профессиональное образование)
2. . Конституция РФ.
3. Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» от 06.03.97 г.,
4. Постановление Правительства РФ «О перечне сведений, которые не могут составлять коммерческую тайну» от 5.12.91 г.
5. Гражданский кодекс РФ.
6. Крысин А.В. Безопасность предпринимательской деятельности. - М: Финансы и статистика, 2001 г.
Издательство «Экзамен», 2005. - 512 с. (Серия «Документы и коммерции»).
7. Информация о методах построения информационной безопасности [Электронный ресурс] //http://www.security.meganet.md
8. Информация об информационной безопасности [Электронный ресурс] //http://www.securityinform.ru/