Автор работы: Пользователь скрыл имя, 06 Сентября 2014 в 09:19, дипломная работа
Целью данной работы будет оценить существующую в организации систему информационной безопасности и разработать мероприятия по её совершенствованию.
Поставленная цель обуславливает следующие задачи дипломной работы:
- рассмотреть понятие информационная безопасность;
- рассмотреть виды возможных угроз информационным системам варианты защиты от возможных угроз утечки информации в организации.
- выявить перечень информационных ресурсов, нарушение целостности или конфиденциальности которых приведет к нанесению наибольшего ущерба предприятию;
Введение 4
1. Теоретические аспекты понятия и информационная безопасность 6
1.1 Сущность информационной безопасности 6
1.2 Категории действий способных нанести вред информационной безопасности 7
1.3 Методы обеспечения информационной безопасности 19
2. Информационная безопасность в службе ДОУ 32
2.1 Сущность конфиденциального документа 32
2.2 Виды информации конфиденциального характера 49
2.3 Правила оформления, регистрации документации, содержащей конфиденциальные сведения 51
Заключение 71
Список использованных источник
МИНИСТЕРСТВО ОБЩЕГО И ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ СВЕРДЛОВСКОЙ ОБЛАСТИ
ГБОУ СПО СО «ЕКАТЕРИНБУРГСКИЙ ЭКОНОМИКО-ТЕХНОЛОГИЧЕСКИЙ КОЛЛЕДЖ»
ДИПЛОМНЫЙ ПРОЕКТ (РАБОТА)
РОЛЬ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СОВРЕМЕННОМ ДОКУМЕНТАЦИОННОМ ОБЕСПЕЧЕНИИ УПРАВЛЕНИЯ НА ПРЕДПРИЯТИИ
Пояснительная записка
ДР 034702 336ДОУ 15 ПЗ
Екатеринбург 2014
РЕФЕРАТ
Дипломная работа выполнена на 72 странице, содержит 36 источников литературы.
Ключевые слова: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ, МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, КОНФИДЕНЦИАЛЬНЫЙ ДОКУМЕНТ, ОФОРМЛЕНИЕ ДОКУМЕНТА, КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ, УГРОЗА ИНФОРМАЦИИ, ЗАЩИТА ИНФОРМАЦИИ, ИНФОРМАЦИОННЫЕ РЕСУРСЫ.
Объектом исследования данной дипломной работы является информационная безопасность на современном предприятии.
Предмет исследования информационная безопасность предприятия.
Цель исследования - оценить существующую в организации систему информационной безопасности и разработать мероприятия по её совершенствованию.
В данном дипломном исследовании были использованы следующие методы: системный, структурный, логический, аналитический, использовалась нормативно-правовые акты, книги, статьи.
В процессе работы исследованы теоретические основы информационной безопасности документационного обеспечения и управления, методы обеспечения информационной безопасности.
СОДЕРЖАНИЕ
Введение
1. Теоретические аспекты понятия и информационная безопасность 6
1.1 Сущность информационной
безопасности
1.2 Категории действий способных
нанести вред информационной безопасности
1.3 Методы обеспечения информационной
безопасности
2. Информационная
безопасность в службе ДОУ
2.1 Сущность конфиденциального документа 32
2.2 Виды информации конфиденциального характера
2.3 Правила оформления, регистрации документации,
содержащей конфиденциальные сведения
Заключение
Список использованных источник
Введение
Актуальность темы дипломной работы определяется возросшим уровнем проблем информационной безопасности даже в условиях стремительного роста технологий и инструментальной базы для защиты данных. Невозможно обеспечить стопроцентный уровень защиты корпоративных информационных систем, при этом корректно расставляя приоритеты в задачах по защите данных в условиях ограниченности доли бюджета, направленной на информационные технологии.
Надежная защита вычислительной и сетевой корпоративной инфраструктуры является базовой задачей в области информационной безопасности для любой компании. С ростом бизнеса предприятия и перехода к территориально-распределенной организации она начинает выходить за рамки отдельного здания.
Эффективная защита IT-инфраструктуры и прикладных корпоративных систем сегодня невозможна без внедрения современных технологий контроля сетевого доступа. Участившиеся случаи кражи носителей, содержащих ценную информацию делового характера, все больше заставляют принимать организационные меры.
Объектом исследования данной дипломной работы является информационная безопасность на современном предприятии.
Предмет исследования - информационная безопасность предприятия.
Проблемой исследования является отсутствие четко утверждение концепции информационной безопасности.
Гипотезой данного дипломного исследования является аналитическая работа и исследование роли информационной безопасности в документационном обеспечении управления.
Целью данной работы будет оценить существующую в организации систему информационной безопасности и разработать мероприятия по её совершенствованию.
Поставленная цель обуславливает следующие задачи дипломной работы:
- рассмотреть понятие информационная безопасность;
- рассмотреть виды возможных угроз информационным системам варианты защиты от возможных угроз утечки информации в организации.
- выявить перечень информационных ресурсов, нарушение целостности или конфиденциальности которых приведет к нанесению наибольшего ущерба предприятию;
- разработать на их основе комплекс мероприятий по усовершенствованию существующей системы информационной безопасности.
Работа состоит из введения, двух глав, заключения, списка использованных источников и приложений.
Во введении обосновывается актуальность темы исследования, формулируются цель и задачи работы.
В первой главе рассматриваются теоретические аспекты понятий информационная безопасность в организации.
Во второй главе рассматривается роль информационной безопасности в службе документационного обеспечения управления.
В заключении сформулированы основные результаты и выводы по работе.
Методологической и теоретической основой дипломной работы явились труды отечественных и зарубежных специалистов в области информационной безопасности, В ходе работы над дипломной работой использовалась информация, отражающая содержание законов, законодательных актов и нормативных актов, постановлений Правительства Российской Федерации, регулирующих защиту информации, международные стандарты по информационной безопасности.
Теоретическая значимость дипломного исследования состоит в реализации комплексного подхода при разработке политики информационной безопасности.
Практическая значимость работы определяется тем, что ее результаты позволяют повысить степень защиты информации на предприятии путем грамотного проектирования политики информационной безопасности.
1. Теоретические
аспекты понятия и
1.1 Понятие информационной безопасности
Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий. [30, 10]
Параметры информационных систем, нуждающиеся в защите, можно разделить на следующие категории: обеспечение целостности, доступности и конфиденциальности информационных ресурсов.
Доступность - это возможность получения, за короткий промежуток времени, требуемой информационной услуги;
Целостность - это актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения;
Конфиденциальность - защите от несанкционированного доступа к информации.
Информационные системы, прежде всего, создаются для получения определенных информационных услуг. Если получение информации по каким-либо причинам становится невозможным, это приносит ущерб всем субъектам информационных отношений. Из этого можно определить, что доступность информации стоит на первом месте.
Целостность является основным аспектом информационной безопасности тогда, когда точность и правдивость будут главными параметрами информации. Например, рецепты медицинских лекарств или набор и характеристики комплектующих изделий.
Наиболее проработанной составляющей информационной безопасности в нашей стране является конфиденциальность. Но практическая реализация мер по обеспечению конфиденциальности современных информационных систем сталкивается в России с большими трудностями. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препятствия и технические проблемы. [32, с. 21]
1.2 Категории действий
способных нанести вред
Действия, которые могут нанести ущерб информационной системе, можно разделить на несколько категорий.
Действия, осуществляемые авторизованными пользователями.
В эту категорию попадают:
-целенаправленная кража или уничтожение данных на рабочей станции или сервере;
-повреждение данных пользователем в результате неосторожных действий.
"Электронные" методы воздействия, осуществляемые хакерами.
Под хакерами понимаются люди, занимающиеся компьютерными преступлениями как профессионально (в том числе в рамках конкурентной борьбы), так и просто из любопытства. К таким методам относятся:
-несанкционированное проникновение в компьютерные сети;
-DOS-атаки.
Целью несанкционированного проникновения извне в сеть предприятия может быть нанесение вреда (уничтожения данных), кража конфиденциальной информации и использование ее в незаконных целях, использование сетевой инфраструктуры для организации атак на узлы третьих фирм, кража средств со счетов и т. п.
Атака типа DOS (сокр. от Denial of Service - "отказ в обслуживании") - это внешняя атака на узлы сети предприятия, отвечающие за ее безопасную и эффективную работу (файловые, почтовые сервера). Злоумышленники организуют массированную отправку пакетов данных на эти узлы, чтобы вызвать их перегрузку и, в итоге, на какое-то время вывести их из строя. Это, как правило, влечет за собой нарушения в бизнес-процессах компании-жертвы, потерю клиентов, ущерб репутации и т. п.
Компьютерные вирусы. Отдельная категория электронных методов воздействия - компьютерные вирусы и другие вредоносные программы. Они представляют собой реальную опасность для современного бизнеса, широко использующего компьютерные сети, интернет и электронную почту. Проникновение вируса на узлы корпоративной сети может привести к нарушению их функционирования, потерям рабочего времени, утрате данных, краже конфиденциальной информации и даже прямым хищениям финансовых средств. Вирусная программа, проникшая в корпоративную сеть, может предоставить злоумышленникам частичный или полный контроль над деятельностью компании.
Спам. Всего за несколько лет спам из незначительного раздражающего фактора превратился в одну из серьезнейших угроз безопасности:
-электронная почта в последнее время стала главным каналом распространения вредоносных программ;
-спам отнимает массу времени на просмотр и последующее удаление сообщений, вызывает у сотрудников чувство психологического дискомфорта;
-как частные лица, так и организации становятся жертвами мошеннических схем, реализуемых спамерами (зачастую подобного рода события потерпевшие стараются не разглашать);
-вместе со спамом нередко удаляется важная корреспонденция, что может привести к потере клиентов, срыву контрактов и другим неприятным последствиям; опасность потери корреспонденции особенно возрастает при использовании черных списков RBL и других "грубых" методов фильтрации спама.
"Естественные" угрозы.
На информационную
Система управления информационной безопасностью (ISMS или Information Security Management System) позволяет управлять комплексом мер, реализующих некую задуманную стратегию, в данном случае - в отношении информационной безопасности. Отметим, что речь идет не только об управлении уже существующей системой, но и о построении новой/перепроектировке старой.
Комплекс мер включает в себя организационные, технические, физические и другие. Управление информационной безопасностью - процесс именно комплексный, что и позволяет реализовывать как можно более эффективное и всестороннее управление ИБ в компании.
Цель управления ИБ состоит в сохранении конфиденциальности, целостности и доступности информации. Вопрос только в том, какую именно информацию необходимо охранять и какие усилия прилагать для обеспечения ее сохранности.
Любое управление основано на осознании ситуации, в которой оно происходит. В терминах анализа рисков осознание ситуации выражается в инвентаризации и оценке активов организации и их окружения, т. е. всего того, что обеспечивает ведение бизнес-деятельности. С точки зрения анализа рисков ИБ к основным активам относятся непосредственно информация, инфраструктура, персонал, имидж и репутация компании. Без инвентаризации активов на уровне бизнес-деятельности невозможно ответить на вопрос, что именно нужно защищать. Очень важно понять, какая информация обрабатывается в организации и где выполняется ее обработка. [34, c 25]
В условиях крупной современной организации количество информационных активов может быть очень велико. Если деятельность организации автоматизирована при помощи ERP-системы, то можно говорить, что практически любому материальному объекту, использующемуся в этой деятельности, соответствует какой-либо информационный объект. Поэтому первоочередной задачей управления рисками становится определение наиболее значимых активов.