Будь умным!


У вас вопросы?
У нас ответы:) SamZan.net

тема- Информационная безопасность на предприятии ООО Арт выполнила студентка гр

Работа добавлена на сайт samzan.net:

Поможем написать учебную работу

Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.

Предоплата всего

от 25%

Подписываем

договор

Выберите тип работы:

Скидка 25% при заказе до 24.11.2024

Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение

высшего  профессионального образования

«Пермский национальный исследовательский

политехнический университет»

контрольная работа

по информационной безопасности

тема: Информационная безопасность

на предприятии ООО «Арт»

выполнила студентка гр.СП-10С

А.С Блинова

Проверил преподаватель:

Каримов Р.М

Пермь 2012г.

Оглавление

[1] Оглавление

[2]
Введение

[3]
Глава 1. Информационная безопасность.

[3.1] 1.1 Понятие информационной безопасности.

[3.2] 1.2 Угрозы информационной безопасности

[4]
Глава 2 Информационная безопасность ООО «Арт»

[4.1] 2.1Характеристика ООО «Арт»

[4.2] 2.2  Возможный ущерб наступающий в результате несанкционированного распространения сведений, составляющих коммерческую тайну.

[4.3] 2.3 Анализ случая утечки информации на данном предприятии

[4.4] 2.4 Затраты на защиту сведений, относящихся к коммерческой тайне

[4.5] 2.5 Меры по защите информации на ООО «Арт»

[5] ЗАКЛЮЧЕНИЕ

[6] СПИСОК ЛИТЕРАТУРЫ


Введение

Актуальность проблемы защиты информации сегодня не вызывает сомнений. Успех современной компании и ее развитие в условиях острой конкуренции в значительной степени зависят от применения информационных технологий, а следовательно, от степени обеспечения информационной безопасности.

Любое предприятие располагает различными видами информации, представляющими интерес для злоумышленников. Прежде всего, это коммерческие данные, информация, являющаяся интеллектуальной собственностью предприятия и конфиденциальные данные.

Поэтому защите информации от неправомерного овладения ею отводится весьма значительное место. При этом "целями защиты информации являются: предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствие с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения".

Как видно из этого определения целей защиты, информационная безопасность - довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита.

Для того чтобы отразить подход организации к защите своих информационных активов необходимо разработать политику информационной безопасности. Каждое предприятие должно осознать необходимость поддержания соответствующего режима безопасности и выделения на эти цели значительных ресурсов.

Политика информационной безопасности - свод документов, в которых рассматриваются вопросы организации, стратегии, методов и процедур в отношении конфиденциальности, целостности и доступности информационных ресурсов предприятия. Политика безопасности строится на основе анализа рисков - процесса определения угроз безопасности системы и отдельным ее компонентам, определение их характеристик и потенциального ущерба.

Конечная цель разработки политики информационной безопасности - обеспечить целостность, доступность и конфиденциальность для каждого информационного ресурса.

Обследуемое предприятие ООО «Арт»  циркулирует большое количество информации конфиденциального характера, доступ к которой необходимо ограничить. Поэтому, целью будет являться разработка такой системы по защите информации, при которой угрозы утечки конфиденциальной информации будут минимальны.

Приемы и способы исследования.

При изучении всей структуры предприятия использовались следующие методы:

  1.  аналитический;
  2.  сбор документов;
  3.  интервьюирование.

Аналитический метод - основан на анализе собранной информации за конкретный период. Он включает: анализ конкретного рабочего процесса, разделение его на элементы, проектирование рациональных режимов работы оборудования, организации труда и необходимых затрат времени по элементам трудового процесса, установление норм на операции.

Сбор (изучение) документооборота - сбор документов осуществлялся на всех этапах проведения обследования. Документы являются обоснованием и обеспечением создаваемой модели деятельности и документооборота.

Интервьюирование - важнейший и необходимый метод обследования, только с его помощью возможно разобраться во всех тонкостях применяемых на предприятии технологий. Современное предприятие - сложнейшая система, как оно функционирует, не знает ни один человек. Интервьюирование являлось наиболее сложной задачей: необходимо найти контакт с сотрудником и направить беседу в необходимое для аналитика русло.
На основе собранной информации проводился анализ информационной безопасности предприятия.


Глава 1. Информационная безопасность.

1.1 Понятие информационной безопасности.

     Термин  «информация» разные науки определяют различными способами. Так, например, в  философии информация рассматривается  как свойство материальных объектов и процессов сохранять и порождать определённое состояние, которое в различных вещественно-энергетических формах может быть передано от одного объекта к другому. В кибернетике информацией принято называть меру устранения неопределённости. Под информацией в дальнейшем будет пониматься всё то, что может быть представлено в символах конечного (например, бинарного) алфавита.

Такое определение может показаться несколько  непривычным. В то же время оно  естественным образом вытекает из базовых  архитектурных принципов современной  вычислительной техники. Действительно, мы ограничиваемся вопросами информационной безопасности автоматизированных систем – а всё то, что обрабатывается с помощью современной вычислительной техники, представляется в двоичном виде.

 Предметом рассмотрения являются автоматизированные системы. Под автоматизированной системой обработки информации (АС) понимается совокупность следующих объектов:

  •  средств вычислительной техники;
  •  программного обеспечения;
  •  каналов связи;
  •  информации на различных носителях;
  •  персонала и пользователей системы.

Информационная  безопасность АС рассматривается как состояние системы, при котором:

Система способна противостоять дестабилизирующему воздействию внутренних и внешних угроз. Функционирование и сам факт наличия системы не создают угроз для внешней среды и для элементов самой системы. На  практике информационная безопасность обычно рассматривается как совокупность следующих трёх базовых свойств защищаемой информации:

  •  конфиденциальность, означающая, что доступ к информации могут получить только легальные пользователи;
  •  целостность, обеспечивающая, что во-первых, защищаемая информация может быть изменена только законными и имеющими соответствующие полномочия пользователями, а во-вторых, информация внутренне непротиворечива и (если данное свойство применимо) отражает реальное положение вещей;
  •  доступность, гарантирующая беспрепятственный доступ к защищаемой информации для законных пользователей.

     Деятельность, направленную на обеспечение информационной безопасности, принято называть защитой информации.

     Методы  обеспечения информационной безопасности весьма разнообразны. Сервисы сетевой безопасности представляют собой механизмы защиты информации, обрабатываемой в распределённых вычислительных системах и сетях.

Инженерно–технические методы ставят своей целью обеспечение защиты информации от утечки по техническим каналам – например, за счёт перехвата электромагнитного излучения или речевой информации.

Правовые  и организационные методы защиты информации создают нормативную базу для организации различного рода деятельности, связанной с обеспечением информационной безопасности.

Теоретические методы обеспечения информационной безопасности, в свою очередь, решают две основных задачи. Первая из них – это формализация разного рода процессов, связанных с обеспечением информационной безопасности. Так, например, формальные модели управления доступом позволяют строго описать все возможные информационные потоки в системе – а значит, гарантировать выполнение требуемых свойств безопасности. Отсюда непосредственно вытекает вторая задача – строгое обоснование корректности и адекватности функционирования систем обеспечения информационной безопасности при проведении анализа их защищённости. Такая задача возникает, например, при проведении сертификации автоматизированных систем по требованиям безопасности информации.

1.2 Угрозы информационной безопасности

При формулировании определения информационной безопасности АС было упомянуто понятие  угрозы. Остановимся на нём несколько подробнее.

Заметим, что в общем случае под угрозой принято понимать потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. В свою очередь, угроза информационной безопасности автоматизированной системы - это возможность реализации воздействия на информацию, обрабатываемую в АС, приводящего к нарушению конфиденциальности, целостности или доступности этой информации, а также возможность воздействия на компоненты АС, приводящего к их утрате, уничтожению или сбою функционирования.

Классификация угроз может быть проведена по множеству признаков. Далее приведены наиболее распространённые из них. По природе возникновения принято выделять естественные и искусственные угрозы.

Естественными принято называть угрозы, возникшие в результате воздействия на АС объективных физических процессов или стихийных природных явлений, не зависящих от человека. В свою очередь, искусственные угрозы вызваны действием человеческого фактора.

Примерами естественных угроз могут служить  пожары, наводнения, цунами, землетрясения  и т.д. Неприятная особенность таких  угроз – чрезвычайная трудность  или даже невозможность их прогнозирования.

По степени преднамеренности выделяют случайные и преднамеренные угрозы.

Случайные угрозы бывают обусловлены халатностью или непреднамеренными ошибками персонала. Преднамеренные угрозы обычно возникают в результате направленной деятельности злоумышленника.

В качестве примеров случайных угроз  можно привести непреднамеренный ввод ошибочных данных, неумышленную порчу  оборудования. Пример преднамеренной угрозы – проникновение злоумышленника на охраняемую территорию с нарушением установленных правил физического доступа.

В зависимости от источника угрозы принято выделять:

  •  Угрозы, источником которых является природная среда. Примеры таких угроз – пожары, наводнения и другие стихийные бедствия.
  •  Угрозы, источником которых является человек. Примером такой угрозы может служить внедрение агентов в ряды персонала АС со стороны конкурирующей организации.
  •  Угрозы, источником которых являются санкционированные программно-аппаратные средства. Пример такой угрозы – некомпетентное использование системных утилит.
  •  Угрозы, источником которых являются несанкционированные программно-аппаратные средства.

По положению источника угрозы выделяют:

  •  Угрозы, источник которых расположен вне контролируемой зоны. Примеры таких угроз – перехват побочных электромагнитных излучений (ПЭМИН) или  перехват данных, передаваемых по каналам  связи; дистанционная фото- и видеосъёмка; перехват акустической информации с  использованием направленных микрофонов.
  •  Угрозы, источник которых расположен в пределах контролируемой зоны. Примерами подобных угроз могут служить  применение подслушивающих устройств  или хищение носителей, содержащих конфиденциальную информацию.

По степени воздействия на АС выделяют пассивные и активные угрозы.

     Пассивные угрозы при реализации не осуществляют никаких изменений в составе и структуре АС. Реализация  активных угроз, напротив, нарушает структуру  автоматизированной системы. Примером  пассивной угрозы может служить  несанкционированное копирование  файлов с данными.

По способу доступа к ресурсам АС выделяют:

  •  Угрозы, использующие стандартный доступ. Пример такой угрозы – несанкционированное получение пароля путём подкупа, шантажа, угроз или физического насилия по отношению к законному обладателю.
  •  Угрозы, использующие нестандартный путь доступа. Пример такой угрозы – использование недекларированных возможностей средств защиты.

Критерии  классификации угроз можно продолжать, однако на практике чаще всего используется следующая основная классификация угроз, основывающаяся на трёх введённых ранее базовых свойствах защищаемой информации:

  •  Угрозы нарушения конфиденциальности информации, в результате реализации которых информация становится доступной субъекту, не располагающему полномочиями для ознакомления с ней.
  •  Угрозы нарушения целостности информации, к которым относится любое злонамеренное искажение информации, обрабатываемой с использованием АС.
  •  Угрозы нарушения доступности информации, возникающие в тех случаях, когда доступ к некоторому ресурсу АС для легальных пользователей блокируется.

Отмечено, что реальные угрозы информационной безопасности далеко не всегда можно  строго отнести к какой-то одной  из перечисленных категорий. Так, например, угроза хищения носителей информации может быть при определённых условиях отнесена ко всем трём категориям.


Глава 2 Информационная безопасность ООО «Арт»

2.1Характеристика ООО «Арт»

Сфера деятельности: производство художественных изделий. Число занятых на предприятии 23 человека. Основное направление деятельности предприятия: производство художественных изделий (гравюры на металле, резьба по дереву).Общая площадь 300 м2, складское помещение 56 м2, производственное помещение 150 м2 , остальная площадь используется управленческим аппаратом, финансовым и коммерческим отделами, бухгалтерией.

2.2  Возможный ущерб наступающий в результате несанкционированного распространения сведений, составляющих коммерческую тайну.

Появляются (или искусственно создаются конкурентами) трудности в закупках сырья, технологии, оборудования. Фирма не выполняет договорные обязательства перед Покупателями (сроки, объемы). Теряет престиж на рынке.

Ограничивается сотрудничество предприятия с деловыми партнерами, снижается вероятность заключения выгодных контрактов, возникают проблемы в выполнении договорных обязательств. Уменьшение объема производства и реализации продукции ведет к недополучению прибыли, увеличению условно-постоянных расходов.

Простой и форсирование производства оборачивается дополнительными расходами по заработной плате с отчислениями на социальное страхование, санкциями. Приобретение сырья и материалов у других поставщиков сопровождается дополнительными расходами.

Разглашение об используемых технологиях может привести к необходимости изменения ассортимента изготавливаемой продукции, что ведет к большим расходам.

2.3 Анализ случая утечки информации на данном предприятии

Посредством подкупа должностных лиц путем оплаты по трудовым соглашениям за выполнение работы по техническому обслуживанию компьютерной техники фирмы конкурента появилась возможность через компьютерную сеть с помощью паролей доступа к внутренней сети данной компании (предоставленными вышеназванными должностными лицами) получать финансовою информацию о состоянии расчетов с поставщиками и потребителями, условиями контрактов (ценами, объемами, условиями оплаты).

Утечка информации была обнаружена сообщением компьютера о подключении дополнительного пользователя к компьютеру одного из сотрудников финансового отдела данной фирмы. Было проведено служебное расследование. Утечка информации привела к оттоку части потребителей, потери поставщиков.

Причинами утечки информации стали:

  •  преднамеренное (корыстное) нарушение лицами, допущенными к работе с защищаемой коммерческой информации, правил защиты, что позволило обеспечить несанкционированный доступ к финансовой информации;
  •  принятие недостаточных мер защиты информации работниками финансового отдела;
  •  несовершенство нормативных актов (не четко прописаны обязанности по защите информации в должностной инструкции).

Условия, которые создали возможность утечки информации:

  •  слабая воспитательно-профилактическая работа в коллективе;
  •  недостаточное внимание со стороны руководителей к вопросам обеспечения режима секретности;
  •  несовершенная должностная инструкция:
  •  участие сотрудников предприятия, осведомленных в коммерческой информации, по совместительству в других фирмах.

После проведения должностного расследования приведены в соответствие должностные инструкции, проблема защиты информации проработана с каждым членом коллектива.

2.4 Затраты на защиту сведений, относящихся к коммерческой тайне

Трудовые затраты:

Создание дополнительных рабочих мест службы безопасности:

  •  главного специалиста по защите информации;
  •  вахтер;
  •  специалист по обслуживанию охранного оборудования.

Материальные затраты:

приобретение и установка:

  •  турникет;
  •  изготовление пропусков;
  •  приобретение видеокамеры;
  •  датчики движения, шума, объема;
  •  создание хранилища;
  •  защита компьютерных сетей.

Финансовые затраты:

оплата услуг:

  •  вневедомственной охраны;
  •  специализированных организаций по обслуживанию и ремонту приборов;
  •  заработная плата и налоги службы безопасности.

2.5 Меры по защите информации на ООО «Арт»

Для данного предприятия в целях создания комплексной системы защиты информации целесообразно создание собственной службы безопасности.

Цели функционирования службы:

  •  профилактика возникновения угроз безопасности;
  •  выявление реальных действий конкурентов, партнеров и персонала, наносящих ущерб предприятию;
  •  пресечение выявленных нарушений безопасности;
  •  ликвидация негативных последствий и восстановление либо повышение первоначального уровня безопасности.

Для этого необходимо:

1. четкое определение круга лиц, имеющих доступ к определенным сведениям, относящихся к коммерческой тайне в силу занимаемого служебного положения.

2. разработка и периодическое обновление внутрифирменных нормативных документов, регламентирующих систему защиты информации:

должностные инструкции разрабатываются на основе следующих документов - для управленческого аппарата, коммерческого отдела, производственного отдела ГОСТ Р-6.30.97, конституция Российской Федерации, трудовой кодекс;

для финансового отдела и бухгалтерии трудовой кодекс, закон о бухгалтерском учете (№ 129-ФЗ от 21.11.96 г.)

Создание памятки содержащей законы, регламентирующие ответственность за разглашение коммерческой тайны УК РФ глава 28 ст. 272 «неправомерный доступ к компьютерной информации» наказывается штрафом от 200-500 мрод либо лишением свободы на срок до 5 лет, в соответствии с ч. 2 п. 2 ст. 139 ГК РФ возлагается обязанность возместить убытки.

3. создание системы охраны территории предприятия: организация пропускного режима, т.е контроль за посещениями предприятия посторонними лицами, в не рабочее время организация охраны имущества силами вневедомственной охраны.

4. организация делопроизводства с документами, содержащими коммерческую тайну - документы находятся в отдельном, охраняемом кабинете, выдаются под роспись в соответствии с допуском ответственным лицом, для документов определяется срок хранения по истечении которого документы уничтожаются.

5. контроль за средствами копирования и размножения документов, к средствам копирования отсутствует свободный доступ, назначается ответственное лицо из финансового отдела, которое регламентирует возможность копирования документов.

6. организация защиты информации в вычислительной технике

Система защиты оградит информационные ресурсы сети от наиболее распространенных типов атак как внешних, так и внутренних, направленных на вывод из строя серверов и уничтожения данных, от нежелательного проникновения в локальные вычислительные сети через "дыры" в операционных системах или трудно устранимые недостатки применяемых технологий, от целенаправленного вторжения в систему с целью получения конфиденциальной информации.

Выбор оптимальной стратегии защиты данных - очень сложная задача. Сегодня актуальным и эффективным является именно комплексный подход к построению системы информационной безопасности. Защита отдельных компонент не обеспечит безопасность информационной структуры организации в целом. В основе разработки комплексной системы безопасности лежит принцип создания последовательных рубежей защиты. На практике это означает - выделение ключевых направлений и создание целостной системы защиты, в которой каждое звено является надежно защищенным и гарантирует обеспечение безопасности всей сети.

Цель функционирования корпоративной системы защиты информации СЗИ - обеспечение защиты информации, обрабатываемой, передаваемой, хранимой в ИС, от преднамеренного или непреднамеренного разрушения, искажения и несанкционированного доступа, а также пресечение попыток нарушения целостности информации и работоспособности ИС.

Основные функции корпоративной СЗИ:

  •  защита от несанкционированного доступа изнутри и извне (из общедоступных сетей, Интернета и т.д.);
  •  антивирусная защита;
  •  защищенный доступ пользователей в общедоступные сети и Интернет;
  •  защита информационных потоков между ЛВС, рабочими станциями и серверами, а также в сетях Internet/Intranet;
  •  идентификация пользователей ИС;
  •  обеспечение доступности сетевых сервисов и серверов;
  •  защита рабочих станций и серверов от несанкционированного доступа;
  •  защита файловых и почтовых серверов;
  •  резервное копирование.

Выделяются следующие основные направления в области обеспечения информационной безопасности организации:

1.разработка концепции информационной безопасности организации;

2. защита организаций от взломов через Интернет;

3.защита Web-серверов;

4. обеспечение доступности сетевых служб и серверов;

5. защита от несанкционированного доступа.

ЗАКЛЮЧЕНИЕ

Главной целью любой системы информационной безопасности является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов Заказчика от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений объекта. Другой целью системы информационной безопасности является повышение качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.

Достижение заданных целей возможно в ходе решения следующих основных задач:

- отнесение информации к категории ограниченного доступа (служебной тайне);

- прогнозирование и своевременное выявление угроз безопасности информационным ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;

- создание условий функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

- создание механизма и условий оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;

- создание условий для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения информационной безопасности на достижение стратегических целей.

В целом необходимо оценивать или переоценивать уровень текущего состояния информационной безопасности предприятия, вырабатывать рекомендации по обеспечению (повышению) информационной безопасности предприятия, снижать потенциальные потери предприятия или организации путем повышения устойчивости функционирования корпоративной сети, разрабатывать концепцию и политику безопасности предприятия, а также предлагать планы защиты конфиденциальной информации предприятия, передаваемой по открытым каналам связи, защиты информации предприятия от умышленного искажения (разрушения), несанкционированного доступа к ней, ее копирования или использования.

СПИСОК ЛИТЕРАТУРЫ

1. Девисилов, В.А. Охрана труда [Текст]: учебник / В.А. Девисилов. -М.: ФОРУМ: ИНФРА-М, 2005. - 2005. - 400 с.: ил. - (Профессиональное образование)

2. . Конституция РФ.

3. Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» от 06.03.97 г.,

4. Постановление Правительства РФ «О перечне сведений, которые не могут составлять коммерческую тайну» от 5.12.91 г.

5. Гражданский кодекс РФ.

6. Крысин А.В. Безопасность предпринимательской деятельности. - М: Финансы и статистика, 2001 г.

Издательство «Экзамен», 2005. - 512 с. (Серия «Документы и коммерции»).

7. Информация о методах построения информационной безопасности [Электронный ресурс] //http://www.security.meganet.md

8. Информация об информационной безопасности [Электронный ресурс] //http://www.securityinform.ru/




1. Вероятностные процессы и математическая статистика в автоматизированных системах.html
2. РЕФЕРАТ ПО социальной информатике Компьютерное пиратство это пример темы Выполнила- сту
3. тема принципы ее организации
4. Мотивация персонала
5. Тема- Методы антропометрических исследований и гигиеническая оценка показателей физического развития дете
6. Реферат- Убийство, совершённое в состоянии аффекта (статья 107 УК РФ)
7. реферат дисертації на здобуття наукового ступеня кандидата філологічних наук Доне
8. МОреховська ldquo;rdquo;2014 р
9. Основные теоретические сведения
10. Реферат- Проект участка цеха с детальной разработкой единичного технологического процесса изготовления детали Картер
11. тройка семёрка туз
12. Тема- Понятие алгоритма- свойства способы описания
13. Рефлексы и анализаторы
14.  Хорошее средство паста Сульсена от перхоти для профилактики ее появления а также для питания и роста волос
15. тема педагогических явлений связанных с развитием индивида
16. .ПР.15.ПЗ Лист Пров Щепина Е.
17. Контрольная работа- История бухгалтерского учета
18. Рисунок несуществующего животного Аспекты анализа рисунка разделяются на формальные и содержательные
19. а и бактериальных клеток
20. Тема I ~ Проекционное черчение I-{{1}}; K; S- Какое максимальное количество основных видов может быть на чертеж