Совершенствование системы информационной безопасности на предприятии ООО "Нива" Уинского района

Автор работы: Пользователь скрыл имя, 18 Сентября 2014 в 21:08, курсовая работа

Краткое описание

Для того чтобы отразить подход организации к защите своих информационных активов необходимо разработать политику информационной безопасности. Каждое предприятие должно осознать необходимость поддержания соответствующего режима безопасности и выделения на эти цели значительных ресурсов.
Политика информационной безопасности - свод документов, в которых рассматриваются вопросы организации, стратегии, методов и процедур в отношении конфиденциальности, целостности и доступности информационных ресурсов предприятия. Политика безопасности строится на основе анализа рисков - процесса определения угроз безопасности системы и отдельным ее компонентам, определение их характеристик и потенциального ущерба.
Конечная цель разработки политики информационной безопасности - обеспечить целостность, доступность и конфиденциальность для каждого информационного ресурса.

Содержание

Введение
Глава 1 Анализ системы информационной безопасности на предприятии
1.1 Характеристика предприятия
1.2 Организационная структура предприятия
1.3 Служба по вопросам защиты информации
1.4 Анализ и характеристика информационных ресурсов предприятия
1.5 Угрозы информационной безопасности характерные для предприятия
1.6 Методы и средства защиты информации на предприятии
Глава 2 Совершенствование СИБ
2.1 Недостатки в системе защиты информации
2.2 Цель и задачи системы информационной безопасности
2.3 Мероприятия и средства по совершенствованию системы информационной безопасности
2.4 Эффективность предложенных мероприятий
Глава 3 Модель информационной системы с позиции безопасности
Заключение
Список использованной литературы

Вложенные файлы: 1 файл

Текстовый документ OpenDocument.doc

— 97.50 Кб (Скачать файл)

 

1.  Угрозами доступности информации  являются:

 

разрушение (уничтожение) информации: вирус, повреждение оборудования, чрезвычайная ситуация (пожар);

 

отказ поддерживающей инфраструктуры: нарушение работы систем связи, электроэнергии, теплоснабжения, кондиционирования, повреждение помещения.

 

Мерами предотвращения данных угрозы может являться следующее:

 

-   Установка программы антивируса.

 

-   Осуществление резервного копирования данных на съемные носители для быстрого восстановления утерянных данных во время системной ошибки.

 

-   Установка аварийных источников  бесперебойного питания.

 

-   Подвод электроэнергии не менее  от двух независимых линий  электропередачи.

 

-   Плановое обслуживание зданий и в целом всей поддерживающей инфраструктуры.

 

2.  Угрозами целостности информации  являются:

 

нарушение целостности со стороны персонала: ввод неверных данных, несанкционированная модификация информации, кража информации, дублирование данных;

 

потеря информации на жестких носителях;

 

угрозы целостности баз данных;

 

угрозы целостности программных механизмов работы предприятия.

 

Мерами предотвращения данной угрозы может являться следующее:

 

-   Введение и частая смена паролей.

 

-   Использование криптографических средств защиты информации.

 

3.  Угрозами конфиденциальности являются:

 

кражи оборудования;

 

делегирование лишних или неиспользуемых полномочий на носитель с конфиденциальной информацией;

 

открытие портов;

 

установка нелицензионного ПО;

 

злоупотребления полномочиями.

 

Анализ состояния информационной безопасности на предприятии позволяет выявить следующие угрозы:

 

1.  Заражение компьютерными вирусами  через съёмные носители информации, компьютерную сеть, сеть Интернет;

 

2.  Ошибки штатных сотрудников, т.е. неверный ввод данных или изменение данных;

 

3.  Внутренний отказ информационной  системы, т.е. отказ программного  или аппаратного обеспечения, повреждение  аппаратуры;

 

4.  Угрозы технического характера;

 

5.  Угрозы нетехнического или некомпьютерного характера - отсутствие паролей, конфиденциальная информация, связанная с информационными системами хранится на бумажных носителях;

 

6.  Несанкционированный доступ к  информации (использование ресурсов  без предварительно полученного  разрешения). При этом могут совершаться следующие действия: несанкционированное чтение информации, несанкционированное изменение информации, а также несанкционированное уничтожение информации;

 

7.  Кража программно-аппаратных средств  и т.д.

1.6 Методы  и средства защиты информации на предприятии

 

Защита информации на предприятии осуществляется комплексно и включает в себя меры следующих уровней:

 

1.  Законодательный уровень защиты  информации - это законы, постановления  правительства и указы президента, нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил.

 

Основными законодательными актами, регулирующими вопросы информационной безопасности предприятия, являются:

 

-   Гражданский кодекс РФ ст.139;

 

-   Уголовный кодекс гл.28 ст.272, 273, 274, 138, 183;

 

-   Закон Российской Федерации "Об  информации, информатизации и защите  информации";

 

-   Закон Российской Федерации "О  коммерческой тайне".

 

2.  Административный уровень информационной  безопасности.

 

Политика информационной безопасности пока не утверждена.

 

3.  Организационный уровень защиты  информации.

 

Организационные меры являются решающим звеном формирования и реализации комплексной защите информации. Эти меры играют существенную роль в создании надежного механизма защиты информации, т.к. возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, небрежностью пользователей или персонала защиты.

 

Организационные меры защиты информации на предприятии реализованы следующим образом:

 

-   Организован контроль, соблюдение  временного режима труда и  пребывания персонала на территории  организации;

 

-   Организована работа с документами  и документированной информацией, т.е. ведется учет, исполнение, возврат, хранение носителей конфиденциальной  информации.

 

В качестве недостатков данного уровня защиты можно указать следующие факты.

 

Несмотря на то, что предприятие переходит на программу "1С: Предприятие", бухгалтерия предпочитает работать со старыми АРМами, реализованными под MS DOS. Это связано с тем, что персонал за неимением навыков работы и времени не очень желает осваивать новый программный продукт.

 

Небрежность персонала, выраженная в недостаточном знании правил защиты конфиденциальной информации, непониманием необходимости тщательного их выполнения. Например, многие важные документы лежат на столах свободно, что может привести к их использованию посторонними лицами.

 

4.  Программно-технические меры защиты  информации - это совокупность аппаратных  и программных средств и мероприятий  по их использованию в интересах  защиты конфиденциальности информации.

 

На предприятии осуществляется управление доступом путем деления информации по соответствующим должностям и полномочиям доступа к ней, т.е. спецификация и контроль действий пользователей над информационными ресурсами организации.

 

Программно-аппаратные средства защиты информации:

 

1.  SHDSL-модем с возможностью работать в режиме маршрутизатора для закрытия сети от проникновения извне.

 

SHDSL модем ZyXEL предназначен для создания  корпоративной сети, в основе  которой лежит скоростное двунаправленное  соединение по медным проводам. Используется для объединения двух офисов по одной или по двум медным парам в режиме "точка-точка" с организацией симметричного скоростного полнодуплексного соединения. Модем имеет возможность работать в режиме моста или маршрутизатора. Встроена система обнаружения и предотвращения вторжений (Intrusion Detection System - IDS).

 

2.  Антивирусная система ESET NOD 32 для  защиты от компьютерных вирусов.

 

Производится нерегулярное обновление баз и сканирование рабочих станций.

 

3. Встроенный Windows Backup для создания архивов.

 

OS Backup Wizard - программа, предназначенная для быстрого создания и восстановления резервной копии Windows. Она позволяет создать копию всей Windows или только отдельных файлов и папок.

 

4. Шифрование  с ключом 2048 бит для канала vpn (подключение  к офису управляющей компании для работы почты и документооборота).

 

Глава 2. Совершенствование СИБ 2.1 Недостатки в системе защиты информации

 

При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий - области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно - технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.

 

Современные технологии программирования не позволяют создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения информационной безопасности.

 

Проанализировав информационную безопасность предприятия можно сделать вывод, что информационной безопасности уделяется недостаточное внимание:

 

-   Отсутствие паролей доступа в  систему;

 

-   Отсутствие паролей при работе программой с 1С: Предприятие, при изменении данных;

 

-   отсутствует дополнительная защита  файлов и информации (отсутствует  элементарный запрос пароля при  открытии или изменении информации  в файлах, не говоря уже о  средствах шифрования данных);

 

-   нерегулярное обновление баз  программы антивируса и сканирование  рабочих станций;

 

-   большое количество документов  на бумажных носителях в основном  лежат в папках (иногда и без  них) на рабочем столе сотрудника, что позволяет злоумышленникам  без труда воспользоваться данного рода информациях в своих целях;

 

-   не производится регулярное обсуждение  вопросов информационной безопасности  на предприятии и возникающих  проблем в этой области;

 

-   не организована регулярная проверка  работоспособности информационных систем предприятия, отладка производится только лишь в том случае, когда они выходят из строя;

 

-   отсутствие политики информационной  безопасности;

 

§  отсутствие системного администратора.

 

Все вышеперечисленное является очень важными недостатками обеспечения информационной безопасности предприятия.

 

 

2.2 Цель  и задачи системы информационной  безопасности 

 

Безопасность информации - состояние защищенности информационных ресурсов в вычислительных сетях и системах предприятия от несанкционированного доступа, случайного или преднамеренного вмешательства в нормальное функционирование систем, попыток разрушения её компонентов.

 

Цели защиты информации:

 

предотвращение угроз безопасности предприятия вследствие несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации или иных форм незаконного вмешательства в информационные ресурсы и информационных системах;

 

сохранение коммерческой тайны, обрабатываемой с использованием средств вычислительной техники;

 

защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах.

 

Для достижения целей защиты должно обеспечиваться эффективное решение следующих задач:

 

·  защита от вмешательства в процесс функционирования предприятия посторонних лиц;

 

·  защита от несанкционированных действий с информационными ресурсами предприятия посторонних лиц и сотрудников, не имеющих соответствующих полномочий;

 

·  обеспечение полноты, достоверности и оперативности информационной поддержки принятия управленческих решений руководством предприятия;

 

·  обеспечение физической сохранности технических средств и программного обеспечения предприятия и защита их от действия техногенных и стихийных источников угроз;

 

·  регистрация событий, влияющих на безопасность информации, обеспечения полной подконтрольности и подотчетности выполнения всех операций, совершаемых на предприятии;

 

·  своевременное выявление, оценка и прогнозирование источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба интересам субъектов, нарушению нормального функционирования и развития предприятия;

 

·  анализ рисков реализации угроз безопасности информации и оценка возможного ущерба, предотвращение неприемлемых последствий нарушения безопасности информации предприятия, создание условий для минимизации и локализации наносимого ущерба;

 

·  обеспечение возможности восстановления актуального состояния предприятия при нарушении безопасности информации и ликвидации последствий этих нарушений;

 

·  создание и формирование целенаправленной политики безопасности информации предприятия.

 

2.3 Мероприятия  и средства по совершенствованию  системы информационной безопасности 

 

Для выполнения поставленных целей и решению задач необходимо провести мероприятия на уровнях информационной безопасности.

 

Административный уровень информационной безопасности.

 

Для формирования системы информационной безопасности необходимо разработать и утвердить политику информационной безопасности.

 

Политика безопасности - это совокупность законов, правил и норм поведения, направленных на защиту информации и ассоциированных с ней ресурсов.

 

Следует отметить, что разрабатываемая политика должна согласовываться с существующими законами и правилами, относящимися к организации, т.е. эти законы и правила необходимо выявлять и принимать во внимание при разработке политики.

 

Чем надежнее система, тем строже и многообразнее должна быть политика безопасности.

 

В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность системы.

 

Организационный уровень защиты информации.

 

Исходя из недостатков, описанных в предыдущем разделе, можно предложить следующие мероприятия по улучшению защиты информации:

 

-   Организация работ по обучению персонала навыкам работы с новыми программными продуктами при участии квалифицированных специалистов;

 

-   Разработка необходимых мероприятий  направленных на совершенствовании  системы экономической, социальной  и информационной безопасности  предприятия.

 

-   Провести инструктаж для того, чтобы каждый сотрудник осознал  всю важность и конфиденциальность  вверенной ему информации, т.к., как  правило, причиной разглашения конфиденциальной  информации является недостаточное  знание сотрудниками правил защиты коммерческих секретов и непонимания (или недопонимания) необходимости их тщательного соблюдения.

Информация о работе Совершенствование системы информационной безопасности на предприятии ООО "Нива" Уинского района