диплом Информационная безопасность

Приложение
Концепция информационной безопасности ООО
...

Введение
1 Теоретические аспекты концепции информационной безопасности
1.1 Понятие информационная безопасность
1.2 Категории действий способных нанести вред информационной безопасности
1.3 Методы обеспечения информационной безопасности
2 Анализ системы информационной безопасности (на примере ООО «-»)
2.1 Структура предприятия и характеристика его информационных технологий
2.2 Угрозы информационной безопасности предприятия и описание возможного ущерба от их реализации
2.3. Анализ системы обеспечения информационной безопасности и выбор метода ее модернизации
3 Разработка комплекса мероприятий по модернизации существующей
системы информационной безопасности ООО «-»
3.1. Основные подходы к формированию концепции информационной безопасности
3.2. Основные элементы концепции информационной безопасности
ООО «-»
Заключение
Список использованных источников
Приложение. Концепция информационной безопасности ООО «-».

.....
Объект исследования - проблемы информационной безопасности предприятия ООО «-».
Задачи работы:
1. Охарактеризовать понятие информационной безопасности.
2. Определить категории действий, способных нанести вред информационной безопасности
3. Охарактеризовать методы обеспечения информационной безопасности.
4. Проанализировать структуру предприятия и дать характеристику его информационных технологий.
5. Выявить угрозы информационной безопасности предприятия и описать возможный ущерб от их реализации.
6. Проанализировать систему обеспечения информационной безопасности и выбрать методы ее модернизации.
7. Сформулировать концепцию информационной безопасности предприятия.
8. Определить основные мероприятия по совершенствованию системы информационной безопасности.
9. Провести обоснование э кономической эффективности проекта.
Теоретико-методологические основы исследования составили труду таких авторов в сфере информационной безопасности, как Беспалько А.А., Власков А.С., Гапоненко В.Ф., Мак-Мак В.П., Нежданов И.Ю., Попов Ю.П., Ярочкин В.И. и др.
Предмет исследования - процесс организации информационной безопасности предприятия.
Цель данной работы - изучить основы организации информационной безопасности предприятия и предложить меры по ее повышению.
Практическая значимость исследования характеризуется возможностью использования его результатов в практической деятельности предприятий.

Тайное создание картелей, сговор во время торгов с предоставлением коммерческой информации;
Создание условий, ограничивающих возможность обеспечения безопасности информации;
Преднамеренное снижение цен для подавления конкуренции;
Копирование товаров, рекламы, услуг и других форм коммерческой деятельности и информации конкурента.
Имеются и другие аспекты, выявляющие недобросовестную конкуренцию. К ним относится экономическое подавление, которое выражается в разных формах - шантаж персонала, руководителей, компрометирующая информация, парализация деятельности предприятия и срыв сделок с помощью медиаканалов, коррупционных связей в госорганах.
Коммерческий шпионаж (недобросовестная конкуренция), подрывающий основы обеспечения информационной безопасности организации, также входит под правовую юридическую ответственность, поскольку он подразумевает незаконное завладение секретной информацией конкурента с целью извлечения личной выгоды.
Та информация, которая предоставляется для широких масс по легальным каналам, не дает руководству предприятия полного ответа на интересующие вопросы о конкурентах. Поэтому, многие крупные предприятия, даже считая действия шпионажа неэтичными и неправомерными, все равно прибегают к мерам, противодействующим обеспечению безопасности информации. Шпионы, работающие на конкурирующем предприятии, часто прибегают к таким действиям, как прямое предложение служащему о предоставлении секретной информации, кража, подкуп и другие разные уловки.
Многие действия по подрыву обеспечения безопасности информации облегчаются за счет появления на рынке различных подслушивающих устройств и других современных технических разработок, которые позволяют максимально качественно осуществлять коммерческий шпионаж.
Применительно к ООО «-» нами выявлена следующие логика функционирования систем информационной безопасности, которая включает следующие действия.
Прогнозирование и быстрое распознавание угроз безопасности данных, мотивов и условий, способствовавших нанесению ущерба предприятию и обусловивших сбои в его работе и развитии.
Создание таких рабочих условий, при которых уровень опасности и вероятность нанесения ущерба предприятию сведены к минимуму.
Возмещение ущерба и минимизация влияния выявленных попыток нанесения ущерба.
Средства защиты информации могут быть: техническими; программными; криптографическими; организационными; законодательными.
С информационной безопасностью связан целый пласт вопросов, которые на наших глазах уже несколько лет плавно переходят из области, специфичной для ИТ-рынка, в общечеловеческую и даже цивилизационную. Упрощенно можно сказать, что у ИБ есть три основные задачи: обеспечить целостность данных (немодифицируемость), их конфиденциальность (нераскрываемость) и доступность. Будут ли решены все проблемы ИБ, если выполнить эти три задачи? Увы, нет. Есть извечная проблема нахождения компромисса между удобством использования и безопасностью. Есть вопросы законодательства, связанные с необходимостью и легитимностью использования тех или иных средств защиты. Есть вопросы управляемости ИБ на средних и крупных предприятиях, где «простое» использование современных средств защиты не приносит качественных изменений, пока не будет продумана политика ИБ и построена комплексная система управления ею. Есть, в конце концов, первопричина всех проблем - люди, их осведомленность о необходимости соблюдать определенные правила информационного взаимодействия.
Выделим три основные проблемы, решение которых может значительно повысить информационную безопасность:
- слабая грамотность пользователей в вопросах безопасности;
- отсутствие гарантированной, криптостойкой аутентификации при доступе к информационным ресурсам;
- небезопасная обработка и хранение информации.
Для начала решения этих проблем нужные технологии и методики уже существуют.
2.3 Анализ системы обеспечения информационной безопасности и выбор метода ее модернизации
Необходимо отметить, что предприятие для обеспечения информационной безопасности использует различные программы, что обусловлено их специализацией.
В систему обеспечения информационной безопасности входит.
1. Достижение безопасности документации, которое осуществляется путем:
- создания единого контура для работы с технической документацией предприятия
- загрузкой рабочей документации в едином формате.
- назначением документации к ознакомлению и использованию сотрудниками (отделами). Каждый сотрудник автоматически получает доступ к документам, с которыми должен быть ознакомлен. Это сокращает время на адаптацию нового сотрудника и включение в рабочий процесс.
- контролем работы сотрудников с документацией (автоматически формируются статусы об ознакомлении изучении документации).
- своевременным оповещением сотрудников об изменениях в документации.
- автоматическим формированием и заполнением журналов ознакомления с документацией, инструкциями.
Это и другое обеспечивает экономию времени на ознакомление с документацией и заполнение журналов до 60%. Удобный поиск информации за нужный период. Вся документация необходимая сотруднику для работы находится в его личном кабинете. Пользователь видит документы, назначенные для отдела в котором он работает в виде ежедневных заданий.
Предусмотрена возможность использования в рамках документооборота всей организации.
2. Достижение безопасности рабочей информации, которое осуществляется путем:
- автоматизации рабочих мест сотрудников с целью повышения качества работы, сокращения времени на проведение операций, снижения человеческого фактора, снижения порога вхождения нового персонала;
- ведением журнала учета прихода и расхода материалов.
- планированием учета работы персонала.
- упрощением и систематизацией работы по заполнению и ведению карточки сотрудника.
- ведением журнала учета использования рабочего времени.
Применение указанных «схем» позволяет обеспечить:
- Создание и ведение карточки сотрудников, в которой отображается информация за весь период работы.
- Планирование и контроль сроков обучения и аттестации персонала.
- Хранение документации, подтверждающей прохождение обучения и его результатов.
- Ведение учета занятий, проведенных сотрудниками предприятия.
- Получение отзывов сотрудников о качестве проведенного обучения.
- Реализация распределения прав доступа к программному обеспечению.
- Удаленное проведение инструктажа позволит экономить рабочее время.
- Мгновенное оповещение об изменениях в рабочей документации, инструкциях повысит осведомленность сотрудников и снизит вероятность неправильного использования документации.
- Контроль сроков действия контрактов сотрудников.
- Использование данных о пользователях совместно с системами контроля и управления доступом.
В месте с тем, в ООО «-» для разработки подходящей защиты информации не учитывается природа возможных угроз, а также формы и способы их возникновения.
Организация информационной безопасности на предприятии не обеспечена множественный уровень защиты. В результате «злоумышленнику» легко проникать в защищённую часть.
Перечень сведений, касающихся информации конфиденциального характера, утверждается руководителем предприятия. Однако любые нарушения в этой области не караются определенными санкциями.
На предприятии в настоящее время не разработаны специальные утилиты, круглосуточно отслеживающие состояние сети и любые предупреждения систем информационной безопасности.
Структура доступа к информации должна быть многоуровневой, в связи с чем к ней должно быть разрешение допускать лишь избранных сотрудников. Однако, право полного доступа ко всему объему на предприятии имеют практически весь персонал.
Противостояние возможным угрозам информационной безопасности возложено на отдел информационного обеспечения и осуществляется с использованием современного набора средств и методов.
В ООО «-» используются следующие средства технической защиты: антивирусные программы, антиспамовые фильтры, средства электронно-цифровой подписи.
Организационно-правовое обеспечение информационной безопасности предприятия включает мероприятия, связанные с согласованием его целей, миссии, принципов, методов и направлений деятельности. Определение перечисленных категорий взаимосвязано с разработкой и нормативным закреплением правил поведения сотрудников внутри самой организации и за ее пределами. На любой стадии функционирования предприятия, начиная с его создания, необходимо осуществить весь комплекс организационно-правовых мер по защите информации.
Таким образом, ООО «-» уделяет определенное внимание системе своей информационной безопасности.
В частности, проведенная автоматизация позволила ООО «-»:
перевести значительную часть бумажного документооборота в электронную форму;
сэкономить время и средства на проведении расчетов, ведении первичной бухгалтерии;
оперативно получать данных по всем участкам работы и постоянно контролировать показатели деятельности компании;
гарантировать конфиденциальность и сохранность большого объема информации.
Для обеспечения защиты информации в ООО «-» используются следующие методы:
1) Препятствие. Метод представляет собой использование физической силы с целью защиты информации от преступных действий злоумышленников с помощью запрета на доступ к информационным носителям и аппаратуре.
2) Управление доступом - метод, который основан на использовании регулирующих ресурсов автоматизированной системы, предотвращающих доступ к информационным носителям. Управление доступом осуществляется с помощью таких функций, как:
Идентификация личности пользователя, работающего персонала и систем информационных ресурсов такими мерами, как присвоение каждому пользователю и объекту личного идентификатора;
Аутентификация, которая устанавливает принадлежность субъекта или объекта к заявленному им идентификатору;
- Проверка соответствия полномочий, которая заключается в установлении точного времени суток, дня недели и ресурсов для проведения запланированных регламентом процедур;
- Доступ для проведения работ установленных регламентом и создание необходимых условий для их проведения;
- Регистрация в виде письменного протоколирования обращений к доступу защитных ресурсов;
- Реагирование на попытку несанкционированных действий в виде шумовой сигнализации, отключения, отказа в запросе и в задержке работ.
3) Регламентация - метод информационной защиты, при котором доступ к хранению и передаче данных при несанкционированном запросе сводится к минимуму.
4) Принуждение - это метод, который вынуждает пользователей при доступе к закрытой информации соблюдать определенные правила. Нарушение установленного протокола приводит к штрафным санкциям, административной и уголовной ответственности.
5) Побуждение - метод, который основан на этических и моральных нормах, накладывающих запрет на использование запрещенной информации, и побуждает соблюдать установленные правила.
Все перечисленные методы защиты направлены на обеспечение максимальной безопасности всей информационной системы организации и осуществляются с помощью разных защитных механизмов.
Вместе с обычными механическими системами, для работы которого необходимо участие человека, параллельно внедряются и электронные полностью автоматизированные системы физической защиты. С помощью электронной системы проводится территориальная защита объекта, организовывается пропускной режим, охрана помещений, наблюдение, пожарная безопасность и сигнализационные устройства.
Защита оборудования, входящего в общую автоматизированную систему информационной безопасности, и переносных устройств (магнитных лент или флешек) осуществляется с помощью специальных механизмов.
Но все используемые средства и методы достаточно устарели и нуждаются в модернизации.
К перечню наиболее актуальных организационно-правовых мероприятий по обеспечению информационной безопасности ООО «-» относятся следующие:
оформление трудовых соглашений с сотрудниками с четко выраженными обязательствами о неразглашении ценных сведений. В трудовом договоре четко прописаны пункты о неразглашении служебной информации;
содержание в штате отдела информационного обеспечения, сотрудники которого имеют специальные знания и опыт в сфере обеспечения безопасности конфиденциальной информации предприятия;
контроль и ограничение доступа к системным областям.
Информационная система, которая внедрена в ООО «-», подразумевает хранение и использование больших объемов информации, а также доступ к ним широкого круга лиц. В то же время защита данных от несанкционированного доступа является важнейшей задачей при функционировании информационной системы.
Взаимодействие пользователей и программных приложений с базами данных осуществляется под контролем системы управления базами данных (СУБД), которая является доминирующим инструментом в обеспечении требуемого уровня безопасности информационной системы. Один из важнейших аспектов обеспечения информационной безопасности в ООО «-» - разграничение доступа к информации. Т.е. каждый сотрудник имеет доступ к открытой только для него информации.
В состав культурно-интеллектуального обеспечения информационной безопасности входят мероприятия по обеспечению кадрового состава предприятия высокоспециализированными подготовленными специалистами; созданию атмосферы, способствующей поднятию корпоративного духа в рабочем коллективе; обучение сотрудников. В настоящее время ООО «-» не достаточно уделяют должного внимания данному направлению.
Как показал проведенный анализ ООО «-», обучением сотрудников основам компьютерной грамотности и безопасной работе в информационной системе предприятие не занимается.
Диагностика существующей системы обучения персонала ООО «-» выявила отсутствие системы обучения персонала по вопросам обеспечения информационной безопасности.
При этом система подготовки кадров не только должна быть технически оснащенной и укомплектованной квалифицированными кадрами, не только гибко реагировать на информационные нововведения, она должна быть предметной и адресной.
Кроме того, важное значение имеет активное желание и готовность персонала повышению уровня знаний при работе с информационными системами, поскольку учить людей, не имеющих желания, неэффективно и экономически невыгодно.
Среди основных проблем в сфере защиты информации ООО «-» можно выделить следующие:
непонимание сотрудниками предприятия важности обеспечения защиты информации;
несоответствие целей и задач, стоящих перед персоналом отдела информационного обеспечения и сотрудниками других отделов;
недостаточная подготовка сотрудников предприятия в вопросах информационной безопасности;
существующая управленческая иерархия (подчиненность отдела информационного обеспечения Зам. директора по финансово-экономическим и общим вопросам) способствует недостаточному вниманию со стороны руководства обеспечению информационной безопасности.
3 Разработка комплекса мероприятий по модернизации существующей
системы информационной безопасности ООО «-»
3.1 Основные подходы к формированию концепции информационной безопасности
В литературе по проблеме формирования концепций информационной безопасности (далее – ИБ) преобладает комплексный подход к построению системы обеспечения ИБ ООО «-», который нами понимается следующим образом.
На основании него система обеспечения ИБ организации рассматривается как целый комплекс принятых управленческих решений, направленных на выявление и предотвращение внешних и внутренних угроз. Эффективность принятых мер основывается на определении таких факторов, как степень и характер угрозы, аналитическая оценка кризисной ситуации и рассматривание других неблагоприятных моментов, представляющих опасность для развития предприятия и достижения поставленных целей.
Обобщив подходы к концепции ИБ в изученных источниках, заключаем, что в нашем представлении концепция информационной безопасности ООО «-» должна заключаться в:
- формировании на указанных в приложении принципах, исходя из комплексного подхода к построению системы обеспечения информационной безопасности;
- учете факторов, влияющие на структуру и организацию системы безопасности;
- обеспечении функционирования ряда подразделений - таких, как: служба безопасности в организации и компьютерная безопасность.
Обеспечение информационной безопасности ООО «-» должна базироваться на принятии таких мер, как:
Качественная безопасность информации для специалистов - это система мер, которая обеспечивает:
- Защиту от противоправных действий.
- Соблюдение законов во избежание правового наказания и наложения санкций.
- Защиту от криминальных действий конкурентов.
- Защиту от недобросовестности сотрудников.
Эти меры применяются в следующих сферах:
- Производственной (для сбережения материальных ценностей).
- Коммерческой (для оценки партнерских отношений и правовой защиты личных интересов).
- Информационной (для определения ценности полученной информации, ее дальнейшего использования и передачи, как дополнительный способ от хищения).
Обеспечение безопасности информации ООО «-» должно основываться на следующих критериях:
- Соблюдение конфиденциальности и защита интеллектуальной собственности.
- Предоставление физической охраны для персонала предприятия.
- Защита и сохранность имущественных ценностей.
Предлагаемая концепция для ООО «-» будет достигаться:
1. При условии:
- Организации процесса, ориентированного на лишение какой-либо возможности в получении конкурентом ценной информации о намерениях предприятия, о торговых и производственных возможностях, способствующих развитие и осуществление поставленных предприятием целей и задач.
- Привлечение к процессу по защите и безопасности всего персонала, а не только службы безопасности.
- Все используемые средства для защиты должны быть доступными для пользователей и простыми для технического обслуживания.
- Каждого пользователя нужно обеспечить минимальными привилегиями, необходимыми для выполнения конкретной работы.
- Система защиты должна быть автономной.
- Необходимо предусмотреть возможность отключения защитных механизмов в ситуациях, когда они являются помехой для выполнения работ.
- Разработчики системы безопасности должны учитывать максимальную степень враждебности окружения, то есть предполагать самые наихудшие намерения со стороны злоумышленников и возможность обойти все защитные механизмы.
- Наличие и месторасположение защитных механизмов должно быть конфиденциальной информацией.
Основы обеспечения информационной безопасности организации должны базироваться на таких функциональных направлениях, как:
- Своевременная организация безопасности по предотвращению угроз для жизненно важных интересов организации со стороны криминальных лиц или конкурентов. В этом случае для обеспечения защиты используются такие методы информации, как деловая разведка и аналитическое прогнозирование ситуации.
- Принятие мер по предотвращению внедрения агентуры и установки технических устройств с целью получения конфиденциальной информации и коммерческой тайны ООО «-». Основными средствами защиты здесь являются строгий пропускной режим, бдительность охранной службы и применение технических защитных устройств.
- Обеспечение личной охраны руководству и персоналу организации. Основными критериями для этого вида охраны являются организация предупреждающих мер, опыт и профессионализм охранника, системный подход к обеспечению безопасности.
Система безопасности также обеспечивается работой таких подразделений, как:
1. Компьютерная безопасность. Работа этого подразделения основана на принятии технологических и административных мер, которые обеспечивают качественную работу всех аппаратных компьютерных систем, что позволяет создать единый, целостный, доступный и конфиденциальный ресурс.
Безопасность данных - это защита информации от халатных, случайных, неавторизированных или умышленных разглашений данных или взлома системы.
Безопасное программное обеспечение - это целый комплекс прикладных и общецелевых программных средств, направленных на обеспечение безопасной работы всех систем и безопасную обработку данных.
Безопасность коммуникаций обеспечивается за счет аутентификации систем телекоммуникаций, предотвращающих доступность информации неавторизированным лицам, которая может быть выдана на телекоммуникационный запрос.
2. Служба безопасности в организации.