Автор работы: Пользователь скрыл имя, 10 Марта 2014 в 13:17, курсовая работа
Цель работы - анализ системы информационной безопасности на предприятии ООО «Вист и Ко».
В соответствии с целью были разработаны следующие задачи:
Провести анализ информационной безопасности предприятия ООО «Вист и Ко»;
Выявить риски информационных угроз по обеспечению безопасности;
Предложить мероприятия по совершенствованию информационной безопасности.
Введение 4
1 Основы информационной безопасности 5
1.1 Понятие информационной безопасности 5
1.2 Особенности защиты информации в компьютерных сетях 6
1.3 Классификация методов и средств обеспечения безопасности 8
1.4 Основы законодательства РФ в области информационной безопасности и защиты информации 14
1.5 Исследование утечек информации и конфиденциальных данных из компаний в Ι полугодии 2013 года 17
2 Анализ информационной безопасности предприятия ООО «Вист и Ко» 20
2.1 Краткая характеристика предприятия 20
2.1.1 Техническое оснащение предприятия 22
2.1.2 Kaspersky Small Office Security 23
2.2 Анализ информационной безопасности предприятия с помощью программы КОНДОР 25
3 Совершенствование информационной безопасности предприятия ООО «Вист и Ко» 31
3.1 Рекомендации, полученные с помощью программы КОНДОР 31
3.2 Мероприятия по совершенствованию системы защиты информации на законодательном, административном, процедурном и программно-аппаратном уровнях 33
3.3 Создание службы безопасности предприятия 34
3.4 Оценка рисков после совершенствования системы информационной безопасности 37
Выводы и рекомендации 38
Библиографический список 39
Недостатком аппаратных средств является их высокая стоимость.
Программные средства защиты – это специальные программы и программные комплексы, предназначенные для защиты информации. Программные средства защиты информации являются наиболее распространенным видом защиты, обладая следующими положительными свойствами: универсальностью, гибкостью, простотой реализации, возможностью изменения и развития. Основной их недостаток – это доступность для хакеров, особенно это касается широко распространенных на рынке средств защиты.
Криптографические программы основаны на использовании методов шифрования (кодирования) информации. Такие методы очень надежны и значительно повышают безопасность передачи информации в сетях.
Аппаратно-программные средства защиты – средства, в которых программные (микропрограммные) и аппаратные части полностью взаимосвязаны и неразделимы. Они совмещают высокую производительность аппаратно реализованных систем и гибкость настройки программных. В качестве примера такого устройства можно привести маршрутизаторы фирмы Cisco, которые допускают их настройку в качестве пакетных фильтров.
Организационные средства – это действия общего характера, предпринимаемые руководством организации. Они регламентируют процессы функционирования и использование ресурсов системы обработки данных, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности, а в случае их реализации снизить размер потерь.
Организационные меры включают в себя:
- мероприятия, осуществляемые
при подборе и подготовке
- мероприятия, осуществляемые при проектировании, строительстве и оборудовании сетей;
- организацию
охраны и надежного
- распределение
реквизитов разграничения
- мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т.п.
Организационные меры нужны для того, чтобы обеспечить эффективное применение других мер и средств защиты в части, касающейся регламентации действий людей. В то же время организационные меры необходимо поддерживать более надежными техническими и физическими средствами.
Законодательные средства - действующие в стране законы, указы и другие нормативно-правовые акты, которые регламентируют правила обращения с информацией, закрепляют права и обязанности участников информационных отношений, а также устанавливают ответственность за нарушение этих правил. Правовые меры защиты носят преимущественно упреждающий, профилактический характер. Основной целью их является предупреждение и сдерживание потенциальных нарушителей.
Морально-этические средства - всевозможные нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации. Морально-этические нормы могут быть как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и оформленные в некоторый свод правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах пользователей.
Законодательные и морально-этические меры определяют правила обращения с информацией и ответственность субъектов информационных отношений за их соблюдение. Они являются универсальными, так как могут применяться для всех каналов проникновения и НСД к информации. В некоторых случаях они могут быть единственно применимыми, как например, при защите открытой информации от незаконного тиражирования или при защите от злоупотреблений служебным положением при работе с информацией.
Все рассмотренные средства защиты разделяются на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) и неформальные (определяемые целенаправленной деятельностью человека либо регламентирующие эту деятельность).
Единая совокупность всех этих мер, направленных на противодействие угрозам безопасности с целью сведения к минимуму возможности ущерба, образуют систему защиты.
Надежная и безопасная система защиты должна соответствовать следующим требованиям:
- стоимость средств защиты должна быть меньше, чем размеры возможного ущерба;
- каждый пользователь
должен иметь минимальный
- защита тем более эффективна, чем проще пользователю с ней работать;
- возможность отключения в экстренных случаях;
- специалисты, имеющие
отношение к системе защиты
должны полностью представлять
себе принципы ее
- под защитой должна находиться вся система обработки информации;
- разработчики системы защиты, не должны быть в числе тех, кого эта система будет контролировать;
- система защиты
должна предоставлять
- лица, занимающиеся обеспечением информационной безопасности, должны нести личную ответственность;
- объекты защиты
целесообразно разделять на
- надежная система защиты должна быть полностью протестирована и согласована;
- защита становится более эффективной и гибкой, если она допускает изменение своих параметров со стороны администратора;
- система защиты
должна разрабатываться, исходя
из предположения, что пользователи
будут совершать серьезные
- наиболее важные и критические решения должны приниматься человеком;
- существование механизмов защиты должно быть по возможности скрыто от пользователей, работа которых находится под контролем.
Национальные интересы России в информационной сфере заключаются в соблюдении конституционных прав и свобод граждан в области получения информации и пользования ею, в развитии современных телекоммуникационных технологий, в защите государственных информационных ресурсов от несанкционированного доступа.
Для достижения этого осуществляется:
Информационная безопасность Российской Федерации является одной из составляющих безопасности Российской Федерации в сферах жизнедеятельности общества и государства.
Основным направлением международного сотрудничества Российской Федерации в области обеспечения информационной безопасности является предотвращение несанкционированного доступа к конфиденциальной информации в международных банковских телекоммуникационных сетях и системах информационного обеспечения мировой торговли, к информации международных правоохранительных организаций, ведущих борьбу с транснациональной организованной преступностью, международным терроризмом, распространением наркотиков и психотропных веществ, незаконной торговлей оружием и расщепляющимися материалами, а также торговлей людьми.
В Концепции национальной безопасности особое значение для обеспечения национальной безопасности Российской Федерации придается использованию возможностей разведки и контрразведки в целях своевременного обнаружения угроз и определения их источников.
В целях охраны и защиты прав и свобод в информационной сфере Конституция РФ устанавливает гарантии, обязанности, механизмы защиты и ответственности.
Наряду с нормами Конституции РФ источниками права о доступе к информации являются:
Важной сферой безопасности информации является защита прав собственности на нее. Федеральным законом «Об информации, информатизации и защите информации» определено, что информационные ресурсы, т. е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектами отношений физических, юридических лиц и государства, подлежат обязательному учету и защите как материальное имущество собственника.
Всестороннее исследование утечек конфиденциальной информации позволяет оценить уровень защищенности информации от утечек в коммерческих компаниях, государственных организациях, образовательных учреждениях.
Аналитический Центр компании InfoWatch представляет отчет об исследовании утечек конфиденциальной информации в I полугодии 2013 года.
Исследование основывается на собственной базе данных, которая пополняется специалистами Центра с 2004 года. В базу InfoWatch включаются утечки, которые произошли в организациях в результате злонамеренных или неосторожных действий сотрудников и были обнародованы в СМИ или других открытых источниках.
За I полугодие 2013 года Аналитическим Центром InfoWatch зарегистрировано 496 (2,7 в день, 82,6 в месяц) случаев утечки конфиденциальной информации. Это на18% больше, чем за аналогичный период 2012 года (419 утечек). Рост количества утечек представлен на рисунке 1.
Рисунок 1 - Количество утечек информации, 2006 - ½ 2013 г.
Рост количества утечек традиционно связывают с повышенным вниманием регуляторов, государства, СМИ и других заинтересованных сторон к проблеме безопасности данных. Данный фактор актуален и для России. По сравнению с аналогичным периодом 2012 года, число «российских» утечек в первом полугодии 2013 выросло на 27%. Зарегистрировано 42 случая утечки информации из российских компаний и госорганов.
Рассмотрим распределение утечек по каналам за ½ 2012 - ½ 2013 гг., рисунок 2.
Рисунок 2 - Распределение утечек по каналам, ½ 2012 - ½ 2013 гг.
По итогам I полугодия 2013 года доля утечек через сеть (использование браузера для передачи информации, компрометация данных вследствие ошибочной публикации в веб), выросла почти вдвое (11,7% против 6,7% в первом полугодии 2012 г.). Утечки через электронную почту составляют 7,7% (что наполовину превышает долю утечек через e-mail за аналогичный период 2012 г.).
Растет доля утечек, связанных с бумажными документами (до 25,4% или на 4,4 п. п.), незначительно колеблется доля утечек через мобильные устройства (потеря и кража смартфонов, планшетов). Такая низкая доля утечек через мобильные устройства объясняется, во-первых, тем, что люди не используют мобильные для хранения информации, продолжая по инерции пользоваться разными другими накопителями информации, включая бумажные. Во-вторых, рискнем предположить, что мобильные устройства довольно плохо контролируются предприятиями, а посему утечки с них остаются нераскрытыми и неизвестными.
Наблюдается снижение доли канала «кража/потеря оборудования» на 5 п. п. при том, что с 2013 года мы относим к утечкам по этому каналу не только случаи компрометации данных при краже или сервисном обслуживании ПК, серверов, другого оборудования (в т. ч. СХД), но и компрометацию информации при потере ноутбуков.
Уровень защищенности информации в мире (в том числе персональных данных) все еще очень низок. Распространение систем мониторинга и предотвращения утечек, противодействия внутренним угрозам позволяет в какой-то мере сгладить ситуацию в отдельных отраслях (банки и финансы, ИТ и телеком). Однако для остальных отраслевых вертикалей положение дел с защитой информации нельзя считать удовлетворительным.
Общество с ограниченной ответственностью "Вист и Ко" во главе директора Лантратова О.И действующего на основании Устава зарегистрировано Постановлением Главы Администрации г. Шахты Ростовской обл. №674 от 21.08.1992г.
Информация о работе Анализ информационной безопасности на предприятии ООО "Вист и Ко"