Рекомендуемая категория для самостоятельной подготовки:
Отчёт по практике*
Код |
382617 |
Дата создания |
2017 |
Страниц |
46
|
Мы сможем обработать ваш заказ (!) 23 декабря в 12:00 [мск] Файлы будут доступны для скачивания только после обработки заказа.
|
Описание
оригинальность 75% ...
Содержание
Введение
1 Структура предприятия и характеристика его информационных технологий
2 Угрозы информационной безопасности предприятия и описание возможного ущерба от их реализации
3. Анализ системы обеспечения информационной безопасности и выбор метода ее модернизации
4 Основные подходы к формированию концепции информационной безопасности
5 Основные элементы концепции информационной безопасности «-»
Заключение
Приложение. Концепция информационной безопасности «-».
Введение
Цель практики - изучить основы организации информационной безопасности предприятия и предложить меры по ее повышению.
Задачи:
- Проанализировать структуру предприятия и дать характеристику его информационных технологий.
- Выявить угрозы информационной безопасности предприятия и описать возможный ущерб от их реализации.
- Проанализировать систему обеспечения информационной безопасности и выбрать методы ее модернизации.
- Сформулировать концепцию информационной безопасности предприятия.
- Определить основные мероприятия по совершенствованию системы информационной безопасности.
- Провести обоснование экономической эффективности проекта.
Фрагмент работы для ознакомления
перевести значительную часть бумажного документооборота в электронную форму;
сэкономить время и средства на проведении расчетов, ведении первичной бухгалтерии;
оперативно получать данных по всем участкам работы и постоянно контролировать показатели деятельности компании;
гарантировать конфиденциальность и сохранность большого объема информации.
Для обеспечения защиты информации в «-» используются следующие методы:
1) Препятствие. Метод представляет собой использование физической силы с целью защиты информации от преступных действий злоумышленников с помощью запрета на доступ к информационным носителям и аппаратуре.
2) Управление доступом - метод, который основан на использовании регулирующих ресурсов автоматизированной системы, предотвращающих доступ к информационным носителям. Управление доступом осуществляется с помощью таких функций, как:
Идентификация личности пользователя, работающего персонала и систем информационных ресурсов такими мерами, как присвоение каждому пользователю и объекту личного идентификатора;
Аутентификация, которая устанавливает принадлежность субъекта или объекта к заявленному им идентификатору;
- Проверка соответствия полномочий, которая заключается в установлении точного времени суток, дня недели и ресурсов для проведения запланированных регламентом процедур;
- Доступ для проведения работ установленных регламентом и создание необходимых условий для их проведения;
- Регистрация в виде письменного протоколирования обращений к доступу защитных ресурсов;
- Реагирование на попытку несанкционированных действий в виде шумовой сигнализации, отключения, отказа в запросе и в задержке работ.
3) Регламентация - метод информационной защиты, при котором доступ к хранению и передаче данных при несанкционированном запросе сводится к минимуму.
4) Принуждение - это метод, который вынуждает пользователей при доступе к закрытой информации соблюдать определенные правила. Нарушение установленного протокола приводит к штрафным санкциям, административной и уголовной ответственности.
5) Побуждение - метод, который основан на этических и моральных нормах, накладывающих запрет на использование запрещенной информации, и побуждает соблюдать установленные правила.
Все перечисленные методы защиты направлены на обеспечение максимальной безопасности всей информационной системы организации и осуществляются с помощью разных защитных механизмов.
Вместе с обычными механическими системами, для работы которого необходимо участие человека, параллельно внедряются и электронные полностью автоматизированные системы физической защиты. С помощью электронной системы проводится территориальная защита объекта, организовывается пропускной режим, охрана помещений, наблюдение, пожарная безопасность и сигнализационные устройства.
Защита оборудования, входящего в общую автоматизированную систему информационной безопасности, и переносных устройств (магнитных лент или флешек) осуществляется с помощью специальных механизмов.
Но все используемые средства и методы достаточно устарели и нуждаются в модернизации.
К перечню наиболее актуальных организационно-правовых мероприятий по обеспечению информационной безопасности «-» относятся следующие:
оформление трудовых соглашений с сотрудниками с четко выраженными обязательствами о неразглашении ценных сведений. В трудовом договоре четко прописаны пункты о неразглашении служебной информации;
содержание в штате отдела информационного обеспечения, сотрудники которого имеют специальные знания и опыт в сфере обеспечения безопасности конфиденциальной информации предприятия;
контроль и ограничение доступа к системным областям.
Информационная система, которая внедрена в «-», подразумевает хранение и использование больших объемов информации, а также доступ к ним широкого круга лиц. В то же время защита данных от несанкционированного доступа является важнейшей задачей при функционировании информационной системы.
Взаимодействие пользователей и программных приложений с базами данных осуществляется под контролем системы управления базами данных (СУБД), которая является доминирующим инструментом в обеспечении требуемого уровня безопасности информационной системы. Один из важнейших аспектов обеспечения информационной безопасности в «-» - разграничение доступа к информации. Т.е. каждый сотрудник имеет доступ к открытой только для него информации.
В состав культурно-интеллектуального обеспечения информационной безопасности входят мероприятия по обеспечению кадрового состава предприятия высокоспециализированными подготовленными специалистами; созданию атмосферы, способствующей поднятию корпоративного духа в рабочем коллективе; обучение сотрудников. В настоящее время «-» не достаточно уделяют должного внимания данному направлению.
Как показал проведенный анализ «-», обучением сотрудников основам компьютерной грамотности и безопасной работе в информационной системе предприятие не занимается.
Диагностика существующей системы обучения персонала «-» выявила отсутствие системы обучения персонала по вопросам обеспечения информационной безопасности.
При этом система подготовки кадров не только должна быть технически оснащенной и укомплектованной квалифицированными кадрами, не только гибко реагировать на информационные нововведения, она должна быть предметной и адресной.
Кроме того, важное значение имеет активное желание и готовность персонала повышению уровня знаний при работе с информационными системами, поскольку учить людей, не имеющих желания, неэффективно и экономически невыгодно.
Среди основных проблем в сфере защиты информации «-» можно выделить следующие:
непонимание сотрудниками предприятия важности обеспечения защиты информации;
несоответствие целей и задач, стоящих перед персоналом отдела информационного обеспечения и сотрудниками других отделов;
недостаточная подготовка сотрудников предприятия в вопросах информационной безопасности;
существующая управленческая иерархия (подчиненность отдела информационного обеспечения Зам. директора по финансово-экономическим и общим вопросам) способствует недостаточному вниманию со стороны руководства обеспечению информационной безопасности.
4 Основные подходы к формированию концепции информационной безопасности
В литературе по проблеме формирования концепций информационной безопасности (далее – ИБ) преобладает комплексный подход к построению системы обеспечения ИБ «-», который нами понимается следующим образом.
На основании него система обеспечения ИБ организации рассматривается как целый комплекс принятых управленческих решений, направленных на выявление и предотвращение внешних и внутренних угроз. Эффективность принятых мер основывается на определении таких факторов, как степень и характер угрозы, аналитическая оценка кризисной ситуации и рассматривание других неблагоприятных моментов, представляющих опасность для развития предприятия и достижения поставленных целей.
Обобщив подходы к концепции ИБ в изученных источниках, заключаем, что в нашем представлении концепция информационной безопасности «-» должна заключаться в:
- формировании на указанных в приложении принципах, исходя из комплексного подхода к построению системы обеспечения информационной безопасности;
- учете факторов, влияющие на структуру и организацию системы безопасности;
- обеспечении функционирования ряда подразделений - таких, как: служба безопасности в организации и компьютерная безопасность.
Обеспечение информационной безопасности «-» должна базироваться на принятии таких мер, как:
Качественная безопасность информации для специалистов - это система мер, которая обеспечивает:
- Защиту от противоправных действий.
- Соблюдение законов во избежание правового наказания и наложения санкций.
- Защиту от криминальных действий конкурентов.
- Защиту от недобросовестности сотрудников.
Эти меры применяются в следующих сферах:
- Производственной (для сбережения материальных ценностей).
- Коммерческой (для оценки партнерских отношений и правовой защиты личных интересов).
- Информационной (для определения ценности полученной информации, ее дальнейшего использования и передачи, как дополнительный способ от хищения).
Обеспечение безопасности информации «-» должно основываться на следующих критериях:
- Соблюдение конфиденциальности и защита интеллектуальной собственности.
- Предоставление физической охраны для персонала предприятия.
- Защита и сохранность имущественных ценностей.
Предлагаемая концепция для «-» будет достигаться:
1. При условии:
- Организации процесса, ориентированного на лишение какой-либо возможности в получении конкурентом ценной информации о намерениях предприятия, о торговых и производственных возможностях, способствующих развитие и осуществление поставленных предприятием целей и задач.
- Привлечение к процессу по защите и безопасности всего персонала, а не только службы безопасности.
- Все используемые средства для защиты должны быть доступными для пользователей и простыми для технического обслуживания.
- Каждого пользователя нужно обеспечить минимальными привилегиями, необходимыми для выполнения конкретной работы.
- Система защиты должна быть автономной.
- Необходимо предусмотреть возможность отключения защитных механизмов в ситуациях, когда они являются помехой для выполнения работ.
- Разработчики системы безопасности должны учитывать максимальную степень враждебности окружения, то есть предполагать самые наихудшие намерения со стороны злоумышленников и возможность обойти все защитные механизмы.
- Наличие и месторасположение защитных механизмов должно быть конфиденциальной информацией.
Основы обеспечения информационной безопасности организации должны базироваться на таких функциональных направлениях, как:
- Своевременная организация безопасности по предотвращению угроз для жизненно важных интересов организации со стороны криминальных лиц или конкурентов. В этом случае для обеспечения защиты используются такие методы информации, как деловая разведка и аналитическое прогнозирование ситуации.
- Принятие мер по предотвращению внедрения агентуры и установки технических устройств с целью получения конфиденциальной информации и коммерческой тайны «-». Основными средствами защиты здесь являются строгий пропускной режим, бдительность охранной службы и применение технических защитных устройств.
- Обеспечение личной охраны руководству и персоналу организации. Основными критериями для этого вида охраны являются организация предупреждающих мер, опыт и профессионализм охранника, системный подход к обеспечению безопасности.
Система безопасности также обеспечивается работой таких подразделений, как:
1. Компьютерная безопасность. Работа этого подразделения основана на принятии технологических и административных мер, которые обеспечивают качественную работу всех аппаратных компьютерных систем, что позволяет создать единый, целостный, доступный и конфиденциальный ресурс.
Безопасность данных - это защита информации от халатных, случайных, неавторизированных или умышленных разглашений данных или взлома системы.
Безопасное программное обеспечение - это целый комплекс прикладных и общецелевых программных средств, направленных на обеспечение безопасной работы всех систем и безопасную обработку данных.
Безопасность коммуникаций обеспечивается за счет аутентификации систем телекоммуникаций, предотвращающих доступность информации неавторизированным лицам, которая может быть выдана на телекоммуникационный запрос.
2. Служба безопасности в организации.
В целом деятельность службы безопасности «-» может иметь одну из форм:
- входить в структуру организации и финансироваться за ее счет;
- существовать как отдельное коммерческое или государственное предприятие и работать в организации по договору с целью обеспечения безопасности отдельных объектов.
Служба безопасности, входящая в состав «-», может иметь форму многофункциональной структуры, обеспечивающей полную безопасность предприятия. Обычно, такая форма службы безопасности присуща крупным финансовым компаниям со стабильной экономической ситуацией. Это инвестиционные фонды, коммерческие банки, финансово-промышленные группы - все, кто может использовать собственные технические средства и персонал.
Служба безопасности как отдельная коммерческая организация, которая предоставляет услуги в сфере безопасности и защиты, может оказывать как комплексные, так и отдельные услуги. Она может полностью обеспечить организацию системы охраны или выполнять конкретные задания: определять, где установлены подслушивающие устройства; сопровождать транзитные перевозки; предоставлять личную охрану и другие услуги. К этой категории можно отнести частные сыскные и охранные агентства и некоторые государственные организации.
Служба безопасности может выполнять следующий комплекс услуг.
Первое направление - юридическая защита предпринимательской деятельности, которая представляет собой юридически грамотное оформление обязанностей, прав и условий для ведения деятельности (прав собственности на патент, лицензию, имущество, ведение бухгалтерской документации, регистрационных документов, соглашений, арендных договоров, уставов и другой документации). Реализация и внедрение данной защиты для безопасности предпринимательской деятельности очевидна, поскольку нормативно-правовая база в данных условиях нестабильна и требует определенной юридической защиты.
Второе направление - физическая безопасность участников предпринимательской деятельности. В данном случае участниками или субъектами предпринимательской деятельности могут быть не только предприниматели, но и используемые ими ресурсы - материальные, финансовые, информационные. Безопасность интеллектуальных ресурсов также входит в эту категорию. Это обслуживающий персонал, работники предприятия, акционеры.
Третье направление - информационно-коммерческая безопасность, которая представляет собой защиту информационных ресурсов предпринимателя и его интеллектуальной собственности.
Четвертое направление - охрана и безопасность персонала и людей, работающих на предприятии. Это соблюдение техники безопасности, охраны труда, экологии, санитарии, деловых взаимоотношений, личной безопасности работников.
Технические средства и организационные меры защиты представлены в прил. 2.
На основании данной информации и проведенного исследования обеспечения безопасности в нашем предприятии можно сделать вывод, что универсального или идеального метода защиты на сегодняшний день не существует, однако мы все таки предложим концепцию информационной безопасности для «-».
5 Основные элементы концепции информационной безопасности «-»
Поскольку информационная безопасность «-» с точки зрения предмета нашего исследования представляет собой совокупность мер организационного и программно-технического уровня, направленных на защиту информационных ресурсов предприятия от угроз информационной безопасности, то концепции обеспечения информационной безопасности предприятия должна, на наш взгляд, осуществляться на основе утвержденных конкретных программ и планов по надежному обеспечению указанных мер.
С учетом уже имеющейся практики обеспечения информационной безопасности «-» предлагаемую концепцию мы связываем с комплексом мер обеспечения информационной безопасности; с предотвращением, выявлением, реагированием и расследованием нарушений ИБ; распределением ответственности и порядка взаимодействия сотрудников «-», с разработкой механизма контроля политики информационной безопасности, обеспечением безопасности корпоративной сети и каналов взаимодействия с другими системами и другими мероприятиями.
Как было выявлено, основными факторами, влияющими на информационную безопасность «-», являются:
- расширение сотрудничества предприятия с партнерами;
- автоматизация бизнес-процессов на предприятии;
- расширение кооперации исполнителей при построении и развитии информационной инфраструктуры предприятия;
- рост объемов информации предприятия, передаваемой по открытым каналам связи;
- рост компьютерных преступлений.
Для нейтрализации негативных факторов предлагаются следующие меры обеспечения информационной безопасности.
1. Организационные меры обеспечения информационной безопасности
Система обеспечения информационной безопасности (СОИБ) реализуется путем сочетания мер организационного и программно-технического уровней. Организационные меры состоят из мер административного уровня и процедурных мер защиты информации. Основой мер административного уровня, то есть мер, предпринимаемых руководством предприятия, является политика информационной безопасности. Под политикой информационной безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
Политика безопасности определяет стратегию предприятия в области ИБ, а также ту меру внимания и количество ресурсов, которую руководство считает целесообразным выделить.
Политика безопасности предприятия определяется предлагаемой концепции, а также другими нормативными и организационно-распорядительными документами предприятия, разрабатываемыми на основе настоящей концепции. К числу таких документов относятся следующие:
- мероприятия защиты от несанкционированного доступа (НСД) к информации;
- мероприятия по предоставлению доступа пользователей в ИС;
- мероприятия управления паролями;
- мероприятия восстановления работоспособности технических средств в случае аварии;
- мероприятия резервного копирования и восстановления данных;
- мероприятия по предоставлению доступа к ресурсам сети Интернет;
- мероприятия по управлению доступом к информационным ресурсам ИС предприятия;
- внесение изменений в программное обеспечение;
- управление доступом к АРМ пользователя;
- политика использования электронной почты;
- политика анализа защищенности ИС предприятия;
- инструкция, определяющая порядок и правила регистрации распечатываемых документов, содержащих конфиденциальную информацию, в соответствии с перечнем информации, составляющей конфиденциальную и служебную информацию;
- должностные инструкции для операторов, администраторов и инженеров, осуществляющих эксплуатацию и обслуживание ИС предприятия;
- Инструкции для операторов, администраторов и инженеров по обеспечению режима информационной безопасности;
- Документированная процедура контроля целостности программной и информационной частей ИС предприятия.
2. Процедуры по обеспечения информационной безопасности.
К процедурному уровню относятся меры безопасности, реализуемые сотрудниками предприятия. Выделяются следующие группы процедурных мер, направленных на обеспечение информационной безопасности:
- управление персоналом;
- физическая защита;
- поддержание работоспособности;
- реагирование на нарушения режима безопасности;
- планирование восстановительных работ.
В рамках управления персоналом «-» для каждой должности должны существовать квалификационные требования по информационной безопасности. В должностные инструкции должны входить разделы, касающиеся защиты информации. Каждого сотрудника предприятия необходимо обучить мерам обеспечения информационной безопасности теоретически и отработать выполнение этих мер практически.
К механизмам контроля политики информационной безопасности следует отнести:
- распределение ролей и ответственности за обеспечение информационной безопасности;
- обучение и тренинги по информационной безопасности;
- информирование об инцидентах безопасности;
- управление непрерывностью бизнеса.
Программно-технические средства защиты предлагается располагать на следующих рубежах:
- защита внешнего периметра корпоративной сети передачи данных (КСПД);
- защита внутренних сетевых сервисов и информационных обменов;
- защита серверов и рабочих станций;
- защита системных ресурсов и локальных приложений на серверах и рабочих станциях;
- защита выделенного сегмента руководства компании.
На программно-техническом уровне выполнение защитных функций информационный систем (ИС) осуществляется следующими служебными сервисами обеспечения информационной безопасности:
- идентификация/аутентификация пользователей информационный систем (ИС);
- разграничение доступа объектов и субъектов информационного обмена;
- протоколирование/аудит действий легальных пользователей;
- экранирование информационных потоков и ресурсов КСПД;
- туннелирование информационных потоков;
Список литературы
без
Пожалуйста, внимательно изучайте содержание и фрагменты работы. Деньги за приобретённые готовые работы по причине несоответствия данной работы вашим требованиям или её уникальности не возвращаются.
* Категория работы носит оценочный характер в соответствии с качественными и количественными параметрами предоставляемого материала. Данный материал ни целиком, ни любая из его частей не является готовым научным трудом, выпускной квалификационной работой, научным докладом или иной работой, предусмотренной государственной системой научной аттестации или необходимой для прохождения промежуточной или итоговой аттестации. Данный материал представляет собой субъективный результат обработки, структурирования и форматирования собранной его автором информации и предназначен, прежде всего, для использования в качестве источника для самостоятельной подготовки работы указанной тематики.
Другие отчёты по практике
bmt: 0.00452