Анализ информационной безопасности на предприятии ООО "Вист и Ко"

• Использование уникального идентификатора пользователя, по которому его можно однозначно идентифицировать (с тем, чтобы привлечь к ответственности за совершенные действия). Применение групповых идентификаторов может быть разрешено только там, где это требуется для выполнения работы;
• Проверку того, что пользователь авторизован владельцем системы для использования ее ресурсов. Возможно получение отдельного разрешения для наделения правами пользователя у руководства;
• Существование актуального списка всех пользователей, зарегистрированных для работы в системе;
• Немедленное исправление прав доступа для тех пользователей, чьи должностные обязанности изменились или которые покинули организацию.

3. Распределение привилегий в многопользовательской системе должно контролироваться при помощи процедуры авторизации.

4. Процедура авторизации  при распределении привилегий  в многопользовательской системе должна включать следующие положения:

• Права доступа к каждому системному компоненту (например, ОС, СУБД или другие приложения) должны быть определены для всех категорий персонала, имеющих к ним доступ;
• Привилегии индивидуальных пользователей, выдающиеся по мере необходимости или от случая к случаю должны быть минимальны - только те, которые необходимы;
• Должна быть утверждена процедура авторизации, а также определен перечень всех назначенных привилегий. Привилегии не должны предоставляться до окончания процесса авторизации.

5. Необходимы процедуры проверки прав пользователей.

6. Все пользователи  должны быть осведомлены о  правилах обращения с паролями:

• Пароли должны быть качественными;
• Запрещается использовать индивидуальный пароль для работы нескольких пользователей;
• Пользователям запрещается использовать автоматический вход в систему и применять сохранение пароля под функциональными клавишами.

7. Если пользователям  необходим доступ ко многим  сервисам и платформам и от них требуется поддержание нескольких паролей, то рекомендуется использовать один единственный надежный пароль для входа во все системы.

8. Все пользователи должны быть осведомлены о правилах защиты оборудования, оставленного без присмотра.

9. Необходимо  определить политику использования сетевых служб и сервисов.

10. Политика использования  сетевых служб должна содержать  следующие положения:

• Положение, определяющее сетевые службы, к которым разрешен доступ;
• Положение, описывающее процедуры авторизации для определения, каким пользователям разрешен доступ, и к каким сетевым службам;
• Положение, определяющее процедуры контроля доступа к сетевым службам.

11. В основе  требований к принудительной  маршрутизации должна лежать политика управления доступом, принятая в организации.

12. Автоматические подключения к удаленным компьютерным системам должны проходить процедуру аутентификации.

13. Ограничения  возможности подключения пользователей  к производственным приложениям должны применяться для следующих приложений:

• Электронная почта;
• Двухсторонняя передача файлов.

14. При использовании организацией различных общедоступных и коммерческих сетевых сервисов, поставщики сетевых услуг должны предоставлять четкое описание атрибутов безопасности всех используемых сервисов.

15. Необходимо  проводить тренинги персонала, использующего мобильные компьютеры, для осведомления о повышенном риске при таком способе работы

16. Необходимо  наличие процедур и стандартов  для управления действиями при удаленной работе

17. При составлении  процедур и стандартов для  управления действиями при удаленной работе должны быть выполнены следующие правила:

• Учет возможной угрозы неавторизованного доступа к информации или ресурсам от иных близких к удаленному пользователю людей, например, семья, друзья.

3 Совершенствование информационной безопасности предприятия ООО «Вист и Ко»

3.1 Рекомендации, полученные с помощью программы КОНДОР

Программа КОНДОР предлагает принять контрмеры для сокращения риска угрозы информационной безопасности. Окно выбора контрмер представлено на рисунке 5.

 

Рисунок 5 – Окно принятия контрмер

 

К числу самых важных контрмер относятся:

1. Регулярные совещания руководителей по вопросам обеспечения информационной безопасности. Проблемы обеспечения информационной безопасности необходимо регулярно рассматривать и обсуждать, поскольку появляются новые уязвимости, развиваются информационные технологии. Ответственность за информационную безопасность предприятия несут его руководители, поэтому так важно регулярно проводить совещания именно руководителей, на которых будут рассматриваться вопросы управления информационной безопасностью, различные административные вопросы, анализироваться происходящие изменения и т.д.
2. Контроль доступа к многопользовательской информационной системе.
3. Применение уникальных идентификаторов пользователей достаточно очевидно и не нуждается в комментариях. Применение групповых идентификаторов обычно не рекомендуется и возможно только для работы в системах обработки данных, где не требуется обеспечение особого уровня защиты и подобной меры защиты как групповой идентификатор может быть вполне достаточно.
4. Назначение одного руководителя, ответственного за все мероприятия, относящиеся к информационной безопасности.
5. Осведомление пользователей о правилах обращения с паролями.
6. Определение процесса внедрения нового оборудования в информационную систему.
7. Ограничение обмена защищаемой информацией с тем, чтобы она не была получена неавторизованными лицами.
8. Политика безопасности должна учитывать требования, связанные с безопасностью бизнес-приложений.
9. Процесс управления паролями пользователей должен удовлетворять определенным положениям. Рекомендуется настроить систему таким образом, чтобы при первом входе пользователя с назначенным ему временным паролем система сразу же требовала его сменить. Временные пароли также выдаются в случае, когда пользователи забывают свои пароли. Временные пароли должны выдаваться только после положительной идентификации пользователя
10. Все пользователи должны быть осведомлены о правилах защиты оборудования, оставленного без присмотра. Данный пункт касается безопасности оборудования (терминалов, рабочих станций и т.д.) пользователей, оставляемого без присмотра (в том случае, если пользователь вынужден покинуть свое рабочее место). Обратим внимание на тот факт, что эти очевидные требования далеко не всегда выполняются на практике и часто сотрудники компании относятся к их выполнению достаточно халатно. Поэтому в автоматизированной системе необходимо учесть автоматическое выполнение данных функций (по тайм-ауту, например), чтобы свести влияние человеческого фактора к минимуму.
11. Безопасность для мобильных компьютеров и пользователей при удаленной работе. Стандарт безопасности рекомендует обратить самое серьезное внимание на обеспечение безопасности мобильных пользователей, и это не лишено смысла. Примеры кражи или утери ноутбуков с конфиденциальной и даже секретной информацией сотрудниками спецслужб регулярно появляются в прессе. Что же говорить об обычных компаниях, где уровень защиты, как правило, существенно ниже. Поэтому для мобильных пользователей необходима разработка отдельных требований и нормативных документов по физической защите, разграничению доступа, криптографической защите, резервному сохранению, антивирусной защите.

3.2 Мероприятия по совершенствованию системы защиты информации на законодательном, административном, процедурном и программно-аппаратном уровнях

Для устранения выявленных недостатков в системе информационной безопасности ООО «Вист и Ко» необходимо ввести следующие меры:

На законодательном уровне никаких изменений по введению новых мер по обеспечению информационной безопасности не намечено.

Необходимо ввести меры административного уровня в политике безопасности фирмы. На административном уровне предлагается:

• Создать ряд инструкций по информационной безопасности внутри фирмы для отдельных категорий работников (изменить и хранить пароли в недоступных местах, запретить посещение сторонних ресурсов и т.д.).
• Предусмотреть ряд мотивационных мероприятий для заинтересованности сотрудников в соблюдении политики безопасности, а так же наказания за грубое нарушение политики безопасности фирмы. (премии и штрафы)

Для совершенствования системы безопасности на процедурном уровне предлагается следующий ряд мер:

• Ограничить доступ посторонних людей в некоторые отделы фирмы.
• Провести ряд консультационных мероприятий с сотрудниками организации по вопросам информационной безопасности и инструкциям по соблюдению политики безопасности.

На программно-аппаратном уровне предлагается ввести следующие меры:

• Обязать всех сотрудников использовать пароли для доступа к базе 1С и более тщательно разграничить доступ к определенным данным базы (справочникам, документам и отчетам) всех сотрудников.
• Необходимо изменить все стандартные логины и пароли, чтобы все пароли соответствовали уровню сложности.
• Ввести ограничения на передаваемые через интернет форматы и размеры файлов отдельным сотрудникам, путем создания фильтров в Kaspersky Small Office Security.

Таким образом, мы определились с изменениями в существующей системе информационной безопасности ООО «Вист и Ко». Среди этих изменений ключевым является работа с персоналом, поскольку какие бы совершенные программные средства защиты информации не внедрялись, тем не менее, всю работу с ними осуществляет персонал и основные сбои в системе безопасности организации вызываются, как правило, персоналом. Правильно мотивированный персонал, нацеленный на результат деятельности - это уже половина того, что необходимо для эффективной деятельности любой системы.

3.3 Создание службы безопасности предприятия

Предприятию ООО «Вист и Ко» оказывается экономически выгоднее привлечь для выполнения некоторых функций безопасности специализированную организацию, чем содержать собственную структуру.

Основным содержанием деятельности службы безопасности предприятия являются следующие функциональные направления:

1. Своевременное  выявление угроз жизненно важным  интересам предприятия (со стороны криминальных элементов, недобросовестных конкурентов и отдельных лиц). При этом основными методами получения информации являются деловая разведка и прогноз-анализ.

2. Предупреждение  проникновения (агентурного и технического) к конфиденциальным сведениям (коммерческой тайне) предприятия и обеспечение сохранности информационных ресурсов предприятия. Главными средствами при этом являются: соблюдение охранно-пропускного режима, бдительность сотрудников и технические средства защиты.

3. Обеспечение физической охраны руководства и сотрудников предприятия. При этом основными средствами и методами являются: организация системы упреждающих мер, профессионализм охраняющих и дисциплина охраняемого лица. Метод системного подхода к обеспечению безопасности коммерческого предприятия.

На организационную структуру службы безопасности влияют следующие факторы:

1. характер и масштабы производственной деятельности предприятия, численность работающих, темпы технического развития;
2. рыночная позиция предприятия (темпы развития отрасли, к которой относится предприятие, вид кривой жизненного цикла товара, динамика его продаж и доля рынка, наличие стратегических зон хозяйствования, уровень конкурентоспособности товаров и услуг);
3. достигнутый уровень финансовой состоятельности (общая экономическая рентабельность, платежеспособность, уровнь деловой активности и инвестиционной привлекательности);
4. наличие субъектов специальной защиты (носителей государственной или коммерческой тайны, экологически опасных производств, взрывопожарных участков, и т. п.);
5. наличие конкурентной среды (активности конкурентов и криминалитета).

Типовые направления деятельности служб безопасности

Первое направление — юридическая безопасность предпринимательской деятельности, под которой следует понимать юридически корректное оформление прав, порядка и условий осуществления этой деятельности (устава, регистрационных документов, прав собственности на имущество, патентов, лицензий, арендных и контрагентских договоров, соглашений, ведение бухгалтерской документации и др.). Необходимость разрабатывать и реализовывать соответствующий комплекс задач достаточно очевидна в условиях неустоявшейся нормативно-правовой базы предпринимательства и его безопасности.

Второе — физическая безопасность субъектов предпринимательской деятельности. В качестве объектов следует при этом рассматривать как сам вид предпринимательской деятельности, так и ресурсы предпринимателя: финансовые, материальные, информационные. Отдельного рассмотрения требует безопасность трудовых и интеллектуальных ресурсов: персонала, акционеров и работников предприятия.

Третье — информационная (информационно-коммерческая) безопасность, защита информационных ресурсов хозяйствующего субъекта, а также объектов его интеллектуальной собственности. Коммерчески значимая информация может быть связана со всеми теми объектами, которые упоминались при рассмотрении физической безопасности.

Четвертое - вопросы безопасности людей, персонала: охрана труда и техника безопасности, производственная санитария и экология, аспекты психологии деловых отношений, вопросы личной безопасности сотрудников и членов их семей.

Для обеспечения полной защиты информации предприятию ООО «Вист и Ко» необходимо привлечь специализированную службу безопасности.

3.4 Оценка рисков после совершенствования системы информационной безопасности

После принятия контрмер и создания отчета были получены следующие результаты рисков и невыполненных требований.

Таблица 3 - Оценка уровня риска после применения контрмер

 

Диаграмма невыполненных требований и рисков после принятия контрмер представлена на рисунке 7.

Рисунок 7 – График зависимостей невыполненных требований и рисков после принятия контрмер

Несмотря на то, что приняты серьезные меры по уменьшению риска угрозы информационной безопасности предприятия, тем не менее, сохранились уязвимости в информационной безопасности.

Выводы и рекомендации

В результате выполнения курсовой работы были решены поставленные задачи, а именно: проведен анализ информационной безопасности предприятия ООО «Вист и Ко»; выявлены риски информационных угроз по обеспечению безопасности; в соответствии с выявленными недостатками были предложены меры их устранения, в результате выполнения которых предприятие позволит повысить эффективность средств защиты и сократит риск потери и искажения информации. Следует обратить внимание на то, что только при совместном взаимодействии персонала, программно-аппаратных средств и средств защиты информации возможна эффективность данных мероприятий.

Выполнение предложенных мер по устранению недостатков позволит предприятию повысить эффективность средств защиты и сократить риск потери информации.