- osobní údaje studentů f akultní;

Osobní složky studentů;

Osobní karty studentů;

aktuální dokumenty;

Materiálové a technické hodnoty.

HROZBY BEZPEČNOSTNÍ

- krádež;

- neautorizovaný přístup;

- porušení integrity info rmace;

Poruchy softwaru a hardwaru.

OCHRANNÉ METODY

- předpisy;

- organizační, technická a bezpečnostní opatření a metody;

- software a hardware oby;

Organizační ochrana.

ZDROJE HROZEB

- antropogenní zdroje (zaměstnanci, studenti, vetřelci);

Technogenní zdroje (software a hardware);

Přírodní zdroje ohrožení (požáry, povodně, zemětřesení atd.).

Závěr

V procesu implementace projektu kurzu byla provedena analýza nástrojů informační bezpečnosti podniku LLC "UK" Ashatli ". Byla provedena analýza informačních zdrojů podniku, analýza hrozeb informační bezpečnosti a byly identifikovány odpovídající nedostatky.

Implementace navržených nápravných opatření umožní podniku zvýšit účinnost ochranných opatření a snížit riziko ztráty informací. Je třeba poznamenat, že proces organizace nebo reorganizace informační bezpečnosti je složitý proces, ve kterém programy, personál a vybavení působí současně.

K řešení problému zajištění bezpečnosti informací je nutné aplikovat legislativní, organizační a softwarová a hardwarová opatření, která jej zcela odstraní.

Seznam použité literatury

Maklakov S.V. Tvorba informačních systémů pomocí AllFusion Modeling Suite. – M.: Dialogue-MEPhI, 2003. – 432 s.

www. ashatli-agro.ru

Federální zákon č. 231-F „O informacích, informačních technologiích a ochraně informací“ ze dne 18.12.2006.

Federální zákon Ruské federace ze dne 27. července 2006 č. 149-FZ "o informacích, informačních technologiích a ochraně informací"

Přijatá ochranná opatření by měla být přiměřená pravděpodobnosti výskytu tohoto typu hrozby a potenciální škodě, která by mohla být způsobena, pokud by se hrozba naplnila (včetně nákladů na ochranu před ní).

Je třeba mít na paměti, že mnohá ochranná opatření vyžadují dostatečně velké výpočetní zdroje, což následně významně ovlivňuje proces zpracování informací. Moderním přístupem k řešení tohoto problému je proto uplatnění principů situačního řízení bezpečnosti informačních zdrojů v automatizovaných řídicích systémech. Podstata tohoto přístupu spočívá v tom, že požadovaná úroveň informační bezpečnosti je nastavena v souladu se situací, která určuje poměr mezi hodnotou zpracovávaných informací, náklady (snížení výkonu automatizovaných řídicích systémů, dodatečná spotřeba RAM atd.), které jsou nezbytné k dosažení této úrovně, a možné celkové ztráty (materiální, morální atd.) zkreslením a neoprávněným použitím informací.

Potřebné charakteristiky ochrany informačních zdrojů jsou stanoveny v průběhu situačního plánování při přímé přípravě technologického procesu bezpečného zpracování informací s přihlédnutím k aktuální situaci a také (ve sníženém objemu) v průběhu procesu zpracování. Při volbě ochranných opatření je třeba brát v úvahu nejen přímé náklady na nákup vybavení a programů, ale také náklady na zavádění nových produktů, školení a rekvalifikaci personálu. Důležitou okolností je kompatibilita nového nástroje se stávající hardwarovou a softwarovou strukturou objektu.

Zahraniční zkušenosti v oblasti ochrany duševního vlastnictví a tuzemské zkušenosti s ochranou státního tajemství ukazují, že efektivní může být pouze komplexní ochrana, která kombinuje takové oblasti ochrany, jako je právní, organizační a inženýrská.

Právní směr stanoví tvorbu souboru legislativních aktů, regulačních dokumentů, nařízení, pokynů, pokynů, jejichž požadavky jsou závazné v rámci své činnosti v systému informační bezpečnosti.

Organizační směr- jedná se o úpravu produkční činnosti a vztahu výkonných umělců na právním základě tak, aby se vyzrazení, únik a neoprávněný přístup k důvěrným informacím znemožnily nebo výrazně ztížily organizačními opatřeními.

Podle odborníků hrají organizační opatření důležitou roli při vytváření spolehlivého mechanismu ochrany informací, protože možnost neoprávněného použití důvěrných informací není z velké části způsobena technickými aspekty, ale škodlivými činy, nedbalostí, nedbalostí a nedbalostí uživatelů nebo bezpečností. personál.

Mezi organizační aktivity patří:

Činnosti prováděné při projektování, výstavbě a vybavení kancelářských a průmyslových budov a prostor;

Činnosti prováděné při výběru personálu;

Organizace a udržování spolehlivé kontroly vstupu, zabezpečení prostor a území, kontrola návštěvníků;

Organizace ukládání a používání dokumentů a nosičů důvěrných informací;

Organizace informační bezpečnosti;

Organizace pravidelných školení zaměstnanců.

Jednou z hlavních součástí organizační informační bezpečnosti společnosti je Služba informační bezpečnosti (ISS - orgán řízení systému informační bezpečnosti). Efektivita opatření v oblasti bezpečnosti informací do značné míry závisí na odborném školení zaměstnanců služeb informační bezpečnosti, dostupnosti moderních nástrojů řízení bezpečnosti v jejich arzenálu. Jeho personální struktura, velikost a složení jsou určeny skutečnými potřebami společnosti, mírou důvěrnosti jejích informací a celkovým stavem bezpečnosti.

Hlavním smyslem fungování ISS s využitím organizačních opatření a softwaru a hardwaru je vyhnout se nebo alespoň minimalizovat možnost porušení bezpečnostní politiky, v krajním případě včas upozornit a odstranit následky narušení.

Pro zajištění úspěšného fungování SIS je nutné stanovit jeho práva a povinnosti a také pravidla pro interakci s ostatními složkami v otázkách ochrany informací v objektu. Počet služeb by měl být dostatečný k provedení všech funkcí, které jsou k němu přiřazeny. Je žádoucí, aby pracovníci služby neměli povinnosti související s fungováním předmětu ochrany. Službě bezpečnosti informací musí být poskytnuty všechny podmínky nezbytné k výkonu jejích funkcí.

jádro inženýrský a technický směr jsou softwarové a hardwarové nástroje zabezpečení informací, které zahrnují mechanické, elektromechanické, elektronické, optické, laserové, rádiové a radiotechnické, radarové a další zařízení, systémy a struktury určené k zajištění bezpečnosti a ochrany informací.

Software pro bezpečnost informací je chápán jako soubor speciálních programů, které implementují funkce ochrany informací a způsob provozu.

Z vytvořeného souboru právních, organizačních a inženýrských opatření vyplývá vhodná bezpečnostní politika.

Bezpečnostní politika určuje podobu systému bezpečnosti informací v podobě souboru právních norem, organizačních (právních) opatření, souboru softwarových a hardwarových nástrojů a procesních řešení zaměřených na čelit hrozbám s cílem eliminovat nebo minimalizovat možné následky informací dopady. Po přijetí té či oné verze bezpečnostní politiky je nutné posoudit úroveň zabezpečení informačního systému. Hodnocení bezpečnosti se samozřejmě provádí podle souboru ukazatelů, z nichž hlavními jsou náklady, efektivita a proveditelnost.

Vyhodnocení možností vybudování systému informační bezpečnosti je poměrně komplikovaný úkol, vyžadující použití moderních matematických metod pro víceparametrické hodnocení výkonnosti. Patří mezi ně: metoda analýzy hierarchií, expertní metody, metoda postupných koncesí a řada dalších.

Při přijímání zamýšlených opatření je nutné zkontrolovat jejich účinnost, tj. ujistit se, že zbytková rizika se stala přijatelnou. Teprve poté lze stanovit datum dalšího přecenění. V opačném případě budete muset analyzovat provedené chyby a provést druhou relaci analýzy zranitelnosti s přihlédnutím ke změnám v systému ochrany.

Vygenerovaný možný scénář akcí narušitele vyžaduje ověření systému zabezpečení informací. Tento test se nazývá "penetrační testování". Cílem je poskytnout ujištění, že pro neoprávněného uživatele neexistují jednoduché způsoby, jak obejít bezpečnostní mechanismy.

Jedním z možných způsobů, jak potvrdit bezpečnost systému, je pozvat hackery k hackování bez předchozího upozornění pracovníků sítě. K tomu je přidělena skupina dvou nebo tří lidí s vysokým odborným vzděláním. Hackeři jsou vybaveni chráněným automatizovaným systémem a skupina se snaží najít zranitelná místa po dobu 1-3 měsíců a na jejich základě vyvinout testovací nástroje, aby obcházela ochranné mechanismy. Najatí hackeři předkládají důvěrnou zprávu o výsledcích práce s posouzením úrovně dostupnosti informací a doporučeními pro zlepšení ochrany.

Spolu s touto metodou se používají nástroje pro testování softwaru.

Na jevišti vypracování plánu ochrany v souladu se zvolenou bezpečnostní politikou je vypracován plán její realizace. Plán ochrany je dokument, který uvádí do účinnosti systém ochrany informací, který schvaluje vedoucí organizace. Plánování je spojeno nejen s co nejlepším využitím všech možností, které společnost má, včetně alokovaných zdrojů, ale také s předcházením chybným jednáním, které by mohly vést ke snížení účinnosti přijatých opatření k ochraně informací.

Plán zabezpečení informací o webu by měl obsahovat:

Popis chráněného systému (hlavní charakteristiky chráněného objektu: účel objektu, seznam úkolů k řešení, konfigurace, vlastnosti a umístění hardwaru a softwaru, seznam kategorií informací (balíčky, soubory, soubory a databáze, ve kterých jsou obsaženy), které mají být chráněny, a požadavky na zajištění přístupu, důvěrnosti, integrity těchto kategorií informací, seznamu uživatelů a jejich oprávnění k přístupu k systémovým zdrojům atd.);

Účel ochrany systému a způsoby zajištění bezpečnosti automatizovaného systému a informací v něm kolujících;

Seznam významných hrozeb pro bezpečnost automatizovaného systému, před kterými je vyžadována ochrana, a nejpravděpodobnějších způsobů způsobení škod;

Politika bezpečnosti informací;

Plán umístění finančních prostředků a funkční schéma systému informační bezpečnosti v objektu;

Specifikace nástrojů informační bezpečnosti a odhady nákladů na jejich implementaci;

Kalendářní plán provádění organizačních a technických opatření k ochraně informací, postup při uvádění prostředků ochrany do účinnosti;

Základní pravidla upravující činnost personálu v otázkách zajištění informační bezpečnosti zařízení (zvláštní povinnosti úředníků obsluhujících automatizovaný systém);

Postup při přezkoumání plánu a modernizaci prostředků ochrany.

Plán ochrany je revidován, když se změní následující součásti objektu:

Architektury informačních systémů (propojování dalších lokálních sítí, změna nebo úprava používaného počítačového vybavení nebo softwaru);

Územní umístění součástí automatizovaného systému.

V rámci plánu ochrany je nutné mít akční plán pro personál v krizových situacích, tzn. plán zásobování nepřetržitá práce a obnovu informací. To odráží:

Účel zajištění kontinuity procesu fungování automatizovaného systému, obnovení jeho výkonu a způsobů, jak toho dosáhnout;

Seznam a klasifikace možných krizových situací;

Požadavky, opatření a prostředky k zajištění nepřetržitého provozu a obnovy procesu zpracování informací (postup při vytváření, ukládání a používání záložních kopií informací, vedení aktuálních, dlouhodobých a havarijních archivů; skladba zálohovacího zařízení a postup pro jeho použití atd.);

Odpovědnosti a postup při jednání různých kategorií personálu systému v krizových situacích, při likvidaci jejich následků, minimalizaci způsobených škod a při obnově normálního fungování systému.

Pokud si organizace vyměňuje elektronické dokumenty s partnery pro provádění jednotlivých zakázek, je nutné do plánu ochrany zahrnout dohodu o postupu při organizování výměny elektronických dokumentů, která zohledňuje následující otázky:

Oddělení odpovědnosti subjektů podílejících se na procesech elektronické výměny dokumentů;

Stanovení postupu pro přípravu, provádění, přenos, přijímání, ověřování pravosti a integrity elektronických dokumentů;

Postup pro generování, certifikaci a distribuci klíčových informací (klíče, hesla atd.);

Postup při řešení sporů v případě konfliktů.

Plán zabezpečení informací je balíček textových a grafických dokumentů, proto může spolu s výše uvedenými součástmi tohoto balíčku zahrnovat:

Nařízení o obchodním tajemství, kterým se vymezuje seznam informací tvořících obchodní tajemství a postup při jeho zjišťování, jakož i povinnosti úředníků při ochraně obchodního tajemství;

Předpisy o ochraně informací, které upravují všechny oblasti činnosti pro provádění bezpečnostní politiky, dále řada doplňujících pokynů, pravidel, předpisů, které odpovídají specifikům předmětu ochrany.

Realizace plánu ochrany (řízení systému ochrany) zahrnuje vypracování potřebných dokumentů, uzavírání smluv s dodavateli, instalaci a konfiguraci zařízení atd. Po zformování systému informační bezpečnosti je řešen úkol jeho efektivního využití, tedy řízení bezpečnosti.

Řízení je proces cílevědomého ovlivňování objektu, prováděný za účelem organizace jeho fungování podle daného programu.

Řízení informační bezpečnosti by mělo být:

Odolné vůči aktivnímu rušení ze strany narušitele;

Kontinuální, poskytující stálý dopad na proces ochrany;

Skryté, neumožňující odhalit organizaci řízení bezpečnosti informací;

Operativní, poskytující příležitost včas a adekvátně reagovat na akce narušitelů a realizovat rozhodnutí managementu k danému datu.

Rozhodnutí o bezpečnosti informací by navíc měla být odůvodněna z hlediska komplexního zvážení podmínek pro plnění úkolu, použití různých modelů, výpočtových a informačních úkolů, expertních systémů, zkušeností a jakýchkoliv dalších údajů zvyšujících spolehlivost prvotní informace a rozhodnutí.

Ukazatelem efektivity řízení informační bezpečnosti je doba kontrolního cyklu pro danou kvalitu rozhodnutí. Cyklus řízení zahrnuje shromažďování nezbytných informací k posouzení situace, rozhodování, vytváření vhodných příkazů a jejich provádění. Jako kritérium účinnosti lze použít dobu odezvy systému informační bezpečnosti na narušení, která by podle své hodnoty neměla překročit dobu zastarávání informací.

Jak ukazuje vývoj skutečných automatizovaných řídicích systémů, žádná z metod (opatření, prostředků a činností) pro zajištění bezpečnosti informací není absolutně spolehlivá a maximálního efektu je dosaženo, když se všechny spojí do uceleného systému ochrany informací. Pouze optimální kombinace organizačních, technických a programových opatření, jakož i neustálá pozornost a kontrola nad udržováním systému ochrany v aktuálním stavu, umožní zajistit řešení trvalého úkolu s největší efektivitou.

Metodologickým základem pro zajištění informační bezpečnosti jsou poměrně obecná doporučení vycházející ze světových zkušeností s tvorbou takových systémů. Úkolem každého specialisty na informační bezpečnost je přizpůsobit abstraktní ustanovení jejich konkrétní předmětové oblasti (organizace, banka), která má vždy své zvláštnosti a jemnosti.

Analýza tuzemských i zahraničních zkušeností přesvědčivě dokazuje potřebu vytvoření integrovaného systému informační bezpečnosti pro společnost, který propojuje provozní, provozní, technická a organizační ochranná opatření. Bezpečnostní systém by navíc měl být optimální z hlediska poměru nákladů a hodnoty chráněných zdrojů. Systém potřebuje flexibilitu a adaptaci na rychle se měnící faktory prostředí, organizační a sociální podmínky v instituci. Není možné dosáhnout takové úrovně zabezpečení bez analýzy existujících hrozeb a možných kanálů úniku informací a bez vytvoření podnikové politiky bezpečnosti informací. V důsledku toho musí být vytvořen plán ochrany, který implementuje zásady stanovené v bezpečnostní politice.

Jsou tu ale další úskalí a „úskalí“, na které si rozhodně musíte dát pozor. Jedná se o problémy, které byly identifikovány v praxi a jsou slabě přístupné formalizaci: problémy sociální a politické povahy, které nejsou technické nebo technologické povahy, které jsou řešeny tak či onak.

Problém 1. Nedostatek porozumění mezi zaměstnanci a manažery středních a nižších řad pro potřebu pracovat na zlepšení úrovně informační bezpečnosti.

Na této příčce manažerského žebříčku zpravidla nejsou vidět strategické úkoly, kterým organizace čelí. Zároveň mohou bezpečnostní problémy dokonce způsobit podráždění - vytvářejí "zbytečné" potíže.

Proti práci a přijímání opatření k zajištění bezpečnosti informací jsou často uváděny následující argumenty:

Vznik dalších omezení pro koncové uživatele a specialisty oddělení, což jim ztěžuje používání automatizovaného organizačního systému;

Potřeba dodatečných materiálových nákladů jak na provádění takové práce, tak na rozšiřování personálu specialistů zabývajících se problémem informační bezpečnosti.

Tento problém je jedním z hlavních. Všechny ostatní otázky tak či onak působí jako jeho důsledky. K jejímu překonání je důležité vyřešit následující úkoly: za prvé zlepšit dovednosti personálu v oblasti informační bezpečnosti pořádáním speciálních setkání a seminářů; za druhé, zvýšit úroveň informovanosti zaměstnanců, zejména o strategických úkolech, kterým organizace čelí.

Problém 2 Konfrontace mezi automatizační službou a bezpečnostní službou organizací.

Tento problém je způsoben typem činnosti a sférou vlivu a také odpovědností těchto struktur v rámci podniku. Realizace systému ochrany je v rukou technických specialistů a odpovědnost za jeho zabezpečení nese bezpečnostní služba. Bezpečnostní specialisté chtějí za každou cenu omezit veškerý provoz pomocí firewallů. Ale lidé, kteří pracují v odděleních automatizace, nejsou ochotni řešit další problémy spojené s údržbou speciálních nástrojů. Takové neshody nemají nejlepší vliv na úroveň zabezpečení celé organizace.

Tento problém, jako většina podobných, je řešen čistě manažerskými metodami. Za prvé je důležité mít v organizační struktuře společnosti mechanismus pro řešení takových sporů. Obě služby mohou mít například jediného šéfa, který bude řešit problémy jejich interakce. Za druhé, technologická a organizační dokumentace by měla jasně a kompetentně rozdělit sféry vlivu a odpovědnosti útvarů.

Problém 3. Osobní ambice a vztahy na úrovni středních a vyšších manažerů.

Vztahy mezi lídry mohou být různé. Někdy při práci na studiu informační bezpečnosti ten či onen úředník projeví přílišný zájem o výsledky těchto prací. Výzkum je skutečně dostatečně mocným nástrojem k řešení jejich konkrétních problémů a uspokojení jejich ambicí. Závěry a doporučení zaznamenané ve zprávě se používají jako plán pro další akce jednoho nebo druhého odkazu. "Volná" interpretace závěrů zprávy je také možná v kombinaci s problémem 5 popsaným níže. Tato situace je krajně nežádoucím faktorem, neboť zkresluje smysl práce a vyžaduje včasnou identifikaci a odstranění na úrovni vrcholového managementu podniku. Nejlepší možností je obchodní vztah, kdy jsou zájmy organizace kladeny do popředí, a nikoli osobní.

Problém 4. Nízká úroveň implementace plánovaného akčního programu na vytvoření systému informační bezpečnosti.

Jedná se o poměrně banální situaci, kdy se strategické cíle a záměry ztrácejí na úrovni realizace. Všechno může začít perfektně. O potřebě zlepšení systému informační bezpečnosti rozhoduje generální ředitel. Pro audit stávajícího systému informační bezpečnosti je najata nezávislá poradenská firma. Po dokončení je vygenerován report, který obsahuje všechna potřebná doporučení pro ochranu informací, finalizaci stávajícího workflow v oblasti informační bezpečnosti, zavádění technických prostředků ochrany informací a organizačních opatření a další podporu vytvořeného systému. Plán ochrany zahrnuje krátkodobá i dlouhodobá opatření. Další doporučení jsou předána k provedení jednomu z oddělení. A tady je důležité, aby se neutopili v bažině byrokracie, osobních ambicí, liknavosti personálu a tuctu dalších důvodů. Zhotovitel může být špatně informován, není dostatečně kompetentní nebo prostě nemá zájem o provedení práce. Je důležité, aby generální ředitel sledoval realizaci plánovaného plánu, aby za prvé nepřišel o prostředky investované do zabezpečení v počáteční fázi a za druhé, aby neutrpěl ztráty v důsledku nedostatku tohoto zabezpečení. .

Problém 5. Nízká kvalifikace specialistů na informační bezpečnost.

Toto hledisko nelze považovat za závažnou překážku, pokud není překážkou pro vytvoření systému bezpečnosti informací. Faktem je, že plán ochrany zpravidla zahrnuje takovou událost, jako je pokročilé školení specialistů v oblasti ochrany informací ve společnosti. Pro specialisty z jiných služeb lze pořádat semináře o základech organizace informační bezpečnosti. Je nutné správně posoudit skutečnou kvalifikaci zaměstnanců podílejících se na realizaci plánu ochrany. Často nesprávné závěry nebo neschopnost aplikovat metody ochrany v praxi vedou k potížím při implementaci doporučených opatření. S náznakem takových okolností by nejsprávnějším východiskem bylo zlepšit dovednosti specialistů na informační bezpečnost ve školicích střediscích speciálně vytvořených pro tento účel.

Praktické aktivity v oblasti zlepšování ekonomické a informační bezpečnosti tak jednoznačně prokazují, že vytvoření reálného systému informační bezpečnosti je velmi závislé na včasném řešení těchto problémů. Nashromážděné zkušenosti však ukazují, že všechny diskutované problémy lze úspěšně vyřešit, pokud budou zástupci objednatele a provádějící společnosti úzce spolupracovat. Hlavní je si uvědomit důležitost provádění takové práce, včas identifikovat existující hrozby a uplatnit adekvátní protiopatření, která jsou zpravidla specifická pro každý konkrétní podnik. Přítomnost touhy a příležitostí je dostatečnou podmínkou pro plodnou práci, jejímž účelem by bylo vytvoření integrovaného systému pro zajištění bezpečnosti organizace.

Odeslat svou dobrou práci do znalostní báze je jednoduché. Použijte níže uvedený formulář

Studenti, postgraduální studenti, mladí vědci, kteří využívají znalostní základnu ve svém studiu a práci, vám budou velmi vděční.

Hostováno na http://www.allbest.ru/

PROJEKT KURZU

V disciplíně "Bezpečnost informací"

Na téma

„Zlepšení systému informační bezpečnosti na

Enterprise LLC "Trouba"

Úvod

Když už mluvíme o bezpečnosti informací, v současné době to ve skutečnosti znamená počítačovou bezpečnost. Informace na elektronických médiích totiž hrají v životě moderní společnosti stále důležitější roli. Zranitelnost takových informací je dána řadou faktorů: obrovskými objemy, vícebodovým a případným anonymitou přístupu, možností „sabotáže informací“... To vše dělá z úkolu zajistit bezpečnost informací umístěných v počítačovém prostředí mnohem obtížnější problém, než je řekněme zachování tajemství tradiční poštovní korespondence.

Hovoříme-li o zabezpečení informací uložených na klasických médiích (papír, tisky fotografií apod.), pak je jejich bezpečnosti dosaženo dodržováním opatření fyzické ochrany (tj. ochrana před neoprávněným vstupem do prostoru úložiště médií). Další aspekty ochrany těchto informací souvisí s přírodními katastrofami a katastrofami způsobenými člověkem. Pojem „počítačové“ informační bezpečnosti jako celku je tedy ve vztahu k „tradičním“ médiím širší než informační bezpečnost.

Pokud se budeme bavit o rozdílech v přístupech k řešení problému informační bezpečnosti na různých úrovních (státní, krajská, úroveň jedné organizace), tak takové rozdíly prostě neexistují. Přístup k zajištění bezpečnosti Státního automatizovaného systému „Výbory“ se neliší od přístupu k zajištění bezpečnosti lokální sítě v malé firmě. Zásady zajištění informační bezpečnosti jsou proto v tomto příspěvku uvažovány na příkladech činnosti samostatné organizace.

Účelem projektu kurzu je zlepšit systém informační bezpečnosti společnosti Oven LLC. Cílem předmětu bude - analýza společnosti Oven LLC, jejích zdrojů, struktury a stávajícího systému informační bezpečnosti v podniku a hledání metod pro jeho zlepšení.

V první fázi bude provedena analýza systému informační bezpečnosti. Na základě získaných výsledků se ve druhé fázi budou hledat způsoby, jak zlepšit ochranu informací, pokud jsou v tomto systému slabá místa.

1. Analýza systému informační bezpečnosti ve společnosti Oven LLC

1.1 Charakteristika podniku. Organizační struktura podniku. Služba zabývající se informačními zdroji a jejich ochranou

Úplný název společnosti je společnost s ručením omezeným "Aries". Zkrácený název společnosti je Oven LLC. Dále v textu Společnost. Společnost nemá žádné pobočky a zastoupení, její jediné centrum se nachází v oblasti Perm, okres Suksunsky, vesnice Martyanovo.

Společnost vznikla v roce 1990 jako malá farma a měla tři zakladatele. Po reorganizaci farmy na rolnické hospodářství v roce 1998 zůstal jediný zakladatel. Poslední reorganizace proběhla v dubnu 2004. Od 1. dubna se podnik stal známým pod názvem Aries Limited Liability Company.

Hlavní činností firmy je pěstování zemědělských produktů, osiv, prodej zemědělských produktů. Dnes v Rusku společnost zaujímá třinácté místo mezi bramborovými farmami a první na území Perm.

Adresa sídla: Rusko, 617553, Permské území, Suksunskij, vesnice Martyanovo.

Cíle podniku jako celku:

· Pobírání zisku z hlavní činnosti.

· Zvýšení konkurenceschopnosti produktů a rozšíření prodejních trhů.

· Koncentrace kapitálu a navýšení investičních zdrojů pro realizaci investičních a jiných projektů.

Podnikatelské poslání společnosti:

1. I nadále zaujímat vedoucí pozici na trhu.

2. Vytvoření semenářské farmy.

Organizační struktura podniku.

Společnost využívá lineárně-funkční strukturu. V lineárně-funkční struktuře se tvoří hierarchie služeb. V této struktuře mají vedoucí funkčních jednotek právo dávat příkazy dalšímu stupni řízení o funkčních otázkách.

Struktura podniku je znázorněna na obrázku 1.

Hostováno na http://www.allbest.ru/

Hostováno na http://www.allbest.ru/

Obrázek 1 - Organizační struktura společnosti Aries LLC

1.2 Analýza a charakteristika informačních zdrojů podniku

Dnes se každý zajímá o bezpečnost firemních informací. Stále oblíbenější jsou jednotlivé programy i celé komplexy určené k ochraně dat. Nikdo však nepřemýšlí o tom, že můžete mít spolehlivou ochranu, jak chcete, ale přesto přijít o důležité informace. Protože jeden z vašich zaměstnanců to bude považovat za bezvýznamné a vystaví to veřejnosti. A pokud jste si jisti, že jste před tím chráněni, pak jste na velkém omylu. Na první pohled tato situace vypadá jako něco neskutečného, ​​jako vtip. To se však stává a stává se to často. Technický personál, který se v drtivé většině případů zabývá problematikou informační bezpečnosti, totiž ne vždy rozumí, jaká data by měla být skryta a která ne. Abyste porozuměli, musíte všechny informace rozdělit do různých typů, které se běžně nazývají typy, a jasně definovat hranice mezi nimi.

Ve skutečnosti všechny společnosti specializující se na dodávky komplexních systémů pro zajištění bezpečnosti počítačových informací zohledňují rozdělení dat do různých typů. Zde musíte být opatrní. Faktem je, že západní produkty dodržují mezinárodní standardy (zejména ISO 17799 a některé další). Podle nich jsou všechna data rozdělena do tří typů: otevřená, důvěrná a přísně důvěrná. Přitom se u nás podle současné legislativy používá trochu jiné rozlišení: informace otevřené, pro interní potřebu a důvěrné.

Otevřeným se rozumí jakákoliv informace, která může být volně předávána jiným osobám a také umístěna v médiích. Nejčastěji je prezentována formou tiskových zpráv, vystoupení na konferencích, prezentací a výstav, samostatných (přirozeně pozitivních) prvků statistiky. Navíc tento sup zahrnuje všechna data získaná z otevřených externích zdrojů. A za veřejné se samozřejmě považují i ​​informace určené pro firemní web.

Na první pohled se zdá, že otevřené informace nepotřebují ochranu. Lidé však zapomínají, že data lze nejen ukrást, ale i nahradit. Proto je udržování integrity otevřených informací velmi důležitým úkolem. V opačném případě se místo předem připravené tiskové zprávy může ukázat jako nesrozumitelná. Nebo bude hlavní stránka firemního webu nahrazena urážlivými nápisy. Je tedy třeba chránit i veřejné informace.

Jako každý jiný podnik má společnost otevřené informace, obsažené především v prezentacích zobrazovaných potenciálním investorům.

Informace pro interní použití zahrnují veškeré údaje, které zaměstnanci používají při plnění svých pracovních povinností. Ale to není vše. Tato kategorie zahrnuje veškeré informace, které si mezi sebou vyměňují různá oddělení nebo pobočky za účelem zajištění jejich výkonu. A konečně posledním typem dat spadajícím do této kategorie dat jsou informace získané z otevřených zdrojů a podrobené zpracování (strukturování, editace, upřesnění).

Ve skutečnosti všechny tyto informace, i když se dostanou do rukou konkurentů nebo vetřelců, nemohou společnosti způsobit vážnou újmu. Nějaká škoda z jejího únosu však stále může být. Předpokládejme, že zaměstnanci shromáždili zprávy pro svého šéfa na téma, které ho zajímá, z nichž vybrali nejdůležitější zprávy a označili je. Takový výtah je jednoznačně informace pro interní použití (informace získané z otevřených zdrojů a podrobené zpracování). Na první pohled se zdá, že konkurenti, kteří jej získají, z něj nebudou moci těžit. Ve skutečnosti ale dokážou odhadnout, o jaký směr se vedení vaší společnosti zajímá, a kdo ví, třeba se jim podaří vás i předběhnout. Proto musí být informace pro interní použití chráněny nejen před záměnou, ale také před neoprávněným přístupem. Pravda, v drtivé většině případů se můžete omezit na bezpečnost lokální sítě, protože utrácet velké částky za to se ekonomicky nevyplácí.

Tento typ informací je také prezentován v podniku, který je obsažen v různých druzích zpráv, seznamů, výpisů atd.

Důvěrné informace - zdokumentované informace, k nimž je přístup omezen v souladu s právními předpisy Ruské federace, které nejsou veřejně dostupné a v případě zveřejnění mohou poškodit práva a právem chráněné zájmy osoby, která je poskytla. Seznam údajů souvisejících s tímto krkem zřizuje stát. V tuto chvíli se jedná o: osobní údaje, informace představující obchodní, služební nebo služební tajemství, informace, které jsou tajemstvím vyšetřování a kancelářské práce. V poslední době jsou navíc údaje o podstatě vynálezu nebo vědeckého objevu před jejich oficiálním zveřejněním klasifikovány jako důvěrné.

Důvěrné informace v podniku zahrnují takové údaje, jako jsou: plán rozvoje, výzkumné práce, technická dokumentace, výkresy, rozdělení zisku, smlouvy, zprávy, zdroje, partneři, jednání, smlouvy, jakož i informace manažerského a plánovacího charakteru.

Společnost má asi dvacet počítačů. Pokud jde o přítomnost místní sítě v podniku, počítače ve společnosti nejsou sjednoceny do jediné sítě. Všechny počítače jsou navíc vybaveny standardní sadou kancelářských programů a účetních programů. Tři počítače mají přístup k internetu přes WAN Miniport. Ani jeden počítač v podniku přitom není vybaven antivirovým programem. Výměna informací se provádí prostřednictvím médií: flash disky, diskety. Veškeré informace o „tradičních“ médiích jsou umístěny ve skříních, které nejsou uzamčeny. Nejdůležitější dokumenty jsou uloženy v trezoru, klíče od něj má sekretářka.

bezpečnost ochrany informací

1.3 Hrozby a prostředky ochrany informací v podniku

Informační bezpečnostní hrozba - soubor podmínek a faktorů, které vytvářejí potenciální nebo reálné nebezpečí spojené s únikem informací a/nebo neoprávněným a/nebo neúmyslným ovlivněním.

Podle způsobů ovlivňování objektů informační bezpečnosti podléhají hrozby relevantní pro společnost následující klasifikaci: informační, softwarové, fyzické, organizační a právní.

Informační hrozby zahrnují:

Neoprávněný přístup k informačním zdrojům;

Krádeže informací z archivů a databází;

Porušení technologie zpracování informací;

nezákonné shromažďování a používání informací;

Mezi softwarové hrozby patří:

počítačové viry a malware;

Mezi fyzické hrozby patří:

Zničení nebo zničení zařízení pro zpracování informací a komunikační zařízení;

Krádež paměťových médií;

Dopad na personál

Mezi organizační a právní hrozby patří:

Pořizování nedokonalých nebo zastaralých informačních technologií a prostředků informatizace;

Nástroje informační bezpečnosti jsou souborem inženýrských, elektrických, elektronických, optických a dalších zařízení a zařízení, zařízení a technických systémů, jakož i dalších reálných prvků používaných k řešení různých problémů ochrany informací, včetně prevence úniku a bezpečnostně chráněných informací.

Zvažte nástroje zabezpečení informací používané v podniku. Jsou celkem čtyři (hardwarové, softwarové, smíšené, organizační).

Hardwarová ochrana- zámky, mříže na okna, bezpečnostní alarmy, síťové filtry, video monitorovací kamery.

Softwarové ochrany: používají se nástroje operačního systému jako ochrana, heslo, účty.

Organizační prostředky ochrany: příprava prostor s počítači.

2 Zlepšení systému informační bezpečnosti

2.1 Zjištěné nedostatky v systému bezpečnosti informací

Nejzranitelnějším bodem ochrany informací ve společnosti je ochrana počítačové bezpečnosti. I při povrchní analýze podniku lze identifikovat tyto nedostatky:

§ Informace jsou zřídka zálohovány;

§ nedostatečná úroveň softwaru pro bezpečnost informací;

§ Někteří zaměstnanci nemají dostatečné znalosti práce s PC;

§ Neexistuje žádná kontrola nad zaměstnanci. Zaměstnanci často mohou opustit pracoviště, aniž by vypnuli počítač a měli flash disk se servisními informacemi.

§ Nedostatek normativních dokumentů o bezpečnosti informací.

§ Ne všechny počítače používají nástroje OS, jako jsou hesla a účty.

2.2 Cíle a cíle formování systému informační bezpečnosti v podniku

Hlavním cílem systému informační bezpečnosti je zajistit stabilní provoz zařízení, předcházet ohrožení jeho bezpečnosti, chránit oprávněné zájmy podniku před protiprávními zásahy, zamezit krádežím finančních prostředků, prozrazení, ztrátě, úniku, narušení a zničení úřední informace, zajišťující běžnou výrobní činnost všech oddělení zařízení. Dalším cílem systému informační bezpečnosti je zkvalitnění poskytovaných služeb a garance bezpečnosti vlastnických práv a zájmů.

Úkoly formování systému bezpečnosti informací v organizaci jsou: integrita informací, spolehlivost informací a jejich důvěrnost. Po splnění úkolů bude cíl realizován.

Tvorba systémů informační bezpečnosti (ISS) v IS a IT je založena na následujících principech:

Systematický přístup k budování systému ochrany, který znamená optimální kombinaci vzájemně souvisejících organizačních, softwarových, hardwarových, fyzických a dalších vlastností, potvrzený praxí tvorby domácích i zahraničních ochranných systémů a používaný ve všech fázích technologického cyklu zpracování informací. .

Princip neustálého vývoje systému. Tento princip, který je jedním ze základních pro počítačové informační systémy, je pro NIS ještě aktuálnější. Způsoby implementace hrozeb pro informace v IT se neustále zlepšují, a proto zajištění bezpečnosti IP nemůže být jednorázovým úkonem. Jedná se o nepřetržitý proces, který spočívá ve zdůvodňování a zavádění nejracionálnějších metod, metod a způsobů zlepšování ISS, průběžného monitorování, odhalování jejích úzkých míst a slabin, potenciálních kanálů úniku informací a nových metod neoprávněného přístupu.

Oddělení a minimalizace pravomocí pro přístup ke zpracovávaným informacím a postupům zpracování, tj. poskytnout uživatelům i samotným zaměstnancům IS minimum přesně definovaných pravomocí postačujících k plnění služebních povinností.

Úplnost kontroly a evidence pokusů o neoprávněný přístup, tj. nutnost přesně zjistit totožnost každého uživatele a zaznamenat jeho jednání pro případné vyšetřování, jakož i nemožnost provádět jakoukoli operaci zpracování informací v IT bez předchozí registrace.

Zajištění spolehlivosti ochranného systému, tj. nemožnost snížení úrovně spolehlivosti v případě poruch, poruch, úmyslného jednání hackera nebo neúmyslných chyb uživatelů a personálu údržby v systému.

Zajištění kontroly nad fungováním ochranného systému, tzn. vytváření prostředků a metod pro sledování výkonu ochranných mechanismů.

Poskytování všech druhů nástrojů proti malwaru.

Zajištění ekonomické proveditelnosti používání ochranného systému, která je vyjádřena v převisu možného poškození IS a IT z implementace hrozeb nad náklady na vývoj a provoz ISS.

2.3 Navrhovaná opatření ke zlepšení systému informační bezpečnosti organizace

Zjištěné nedostatky v podniku vyžadují jejich odstranění, proto jsou navržena následující opatření.

§ Pravidelné zálohování databáze s osobními údaji zaměstnanců společnosti, s účetními daty a dalšími databázemi dostupnými v podniku. Předejdete tak ztrátě dat v důsledku selhání disku, výpadku napájení, virů a dalších nehod. Pečlivé plánování a pravidelné postupy zálohování umožňují rychlou obnovu dat v případě ztráty.

§ Používání nástrojů OS na každém počítači. Vytvoření účtů pro specialisty a pravidelná změna hesla k těmto účtům.

§ Školení zaměstnanců podniku pro práci s počítači. Nezbytná podmínka pro správný provoz pracovních stanic a zabránění ztrátě a poškození informací. Práce celého podniku závisí na dovednostech personálu PC z hlediska správného provedení.

§ Instalace antivirových programů na počítače jako: Avast, NOD, Doctor Web atd. Vyhnete se tak infikování počítačů různými škodlivými programy nazývanými viry. Což je pro tento podnik velmi důležité, protože několik počítačů má přístup k internetu a zaměstnanci používají flash média k výměně informací.

§ Provádění kontroly zaměstnanců pomocí videokamer. Omezí se tak případy neopatrné manipulace se zařízením, riziko krádeže a poškození zařízení a umožní se také kontrola „odstranění“ oficiálních informací z území společnosti.

§ Vypracování regulačního dokumentu „Opatření na ochranu informací ve společnosti Oven LLC a odpovědnost za jejich porušení“, který by byl v souladu s platnými právními předpisy Ruské federace a určoval rizika, porušení a odpovědnost za tato porušení (pokuty, tresty). Stejně jako uvedení příslušné kolonky v pracovní smlouvě společnosti, že je seznámen a zavazuje se dodržovat ustanovení tohoto dokumentu.

2.4 Efektivita navrhovaných činností

Navrhovaná opatření nesou pouze pozitivní aspekty, jako je odstranění hlavních problémů v podniku souvisejících s informační bezpečností. Zároveň však budou vyžadovat další investice do školení personálu a vypracování regulačních dokumentů týkajících se bezpečnostní politiky. Bude to vyžadovat dodatečné náklady na pracovní sílu a zcela neodstraní rizika. Vždy tu bude lidský faktor, vyšší moc. Pokud však taková opatření nebudou přijata, náklady na obnovu informací a ztracené příležitosti budou stát více než náklady potřebné na vývoj bezpečnostního systému.

Zvažte výsledky navrhovaných opatření:

1. Zvýšení spolehlivosti systému informační bezpečnosti organizace;

2. Zvyšování úrovně počítačových dovedností personálu;

3. Snížení rizika ztráty informací;

4. Dostupnost regulačního dokumentu definujícího bezpečnostní politiku.

5. Možná snížit riziko vkládání/odebírání informací z podniku.

3 Model zabezpečení informací

Prezentovaný model informační bezpečnosti (obrázek 2) je souborem objektivních vnějších a vnitřních faktorů a jejich vlivu na stav informační bezpečnosti v zařízení a na bezpečnost věcných či informačních zdrojů.

Obrázek 2 - Model systému informační bezpečnosti

Tento model je v souladu se speciálními regulačními dokumenty pro zajištění bezpečnosti informací přijatými v Ruské federaci, mezinárodní normou ISO/IEC 15408 „Informační technologie – způsoby ochrany – kritéria pro hodnocení bezpečnosti informací“, normou ISO/IEC 17799 „Řízení bezpečnosti informací“. “, a zohledňuje vývojové trendy vnitrostátního regulačního rámce (zejména Státní technické komise Ruské federace) v otázkách bezpečnosti informací.

Závěry a nabídky

Informační věk přinesl dramatické změny ve způsobu, jakým lidé plní své povinnosti pro velké množství profesí. Nyní může netechnický specialista střední úrovně dělat práci, kterou dříve dělal vysoce kvalifikovaný programátor. Zaměstnanec má k dispozici tolik přesných a aktuálních informací, jaké nikdy neměl.

Používání počítačů a automatizovaných technologií však vede k řadě problémů pro vedení organizace. Počítače, často propojené v síti, mohou poskytnout přístup k obrovskému množství nejrůznějších dat. Lidé se proto obávají o bezpečnost informací a rizika spojená s automatizací a poskytováním mnohem většího přístupu k důvěrným, osobním nebo jiným kritickým údajům. Počet počítačových zločinů neustále narůstá, což může nakonec vést k podkopání ekonomiky. A tak by mělo být jasné, že informace jsou zdrojem, který je třeba chránit.

A protože automatizace vedla k tomu, že počítačové operace jsou nyní prováděny běžnými zaměstnanci organizace, a nikoli speciálně vyškoleným technickým personálem, koncoví uživatelé si musí být vědomi své odpovědnosti za ochranu informací.

Neexistuje jediný recept, který by poskytoval 100% záruku bezpečnosti dat a spolehlivého provozu sítě. Vytvoření komplexního, promyšleného bezpečnostního konceptu, který zohledňuje specifika úkolů konkrétní organizace, však pomůže minimalizovat riziko ztráty cenných informací. Počítačová bezpečnost je neustálý boj proti hlouposti uživatelů a inteligenci hackerů.

Na závěr bych chtěl říci, že ochrana informací se neomezuje pouze na technické metody. Problém je mnohem širší. Hlavním nedostatkem ochrany jsou lidé, a proto spolehlivost bezpečnostního systému závisí především na postoji zaměstnanců společnosti k němu. Kromě toho je nutné ochranu neustále zlepšovat spolu s rozvojem počítačové sítě. Nezapomeňte, že do práce nezasahuje bezpečnostní systém, ale jeho absence.

Shrnutím výsledků tohoto projektu kurzu bych také rád poznamenal, že po analýze systému informační bezpečnosti podniku Aries bylo zjištěno pět nedostatků. Po rešerši byla nalezena řešení k jejich odstranění, tyto nedostatky lze napravit, čímž dojde ke zlepšení informační bezpečnosti podniku jako celku.

V průběhu výše uvedených akcí byly procvičeny praktické i teoretické dovednosti studia systému informační bezpečnosti, čímž bylo dosaženo cíle projektu předmětu. Díky nalezeným řešením můžeme konstatovat, že všechny úkoly projektu byly splněny.

Bibliografie

1. GOST 7.1-2003. Bibliografický záznam. Bibliografický popis. Obecné požadavky a pravidla pro vypracování (M.: Nakladatelství norem, 2004).

2. Galatenko, V.A. „Základy informační bezpečnosti“. - M.: "Intuit", 2003.

3. Zavgorodniy, V. I. „Integrovaná ochrana informací v počítačových systémech“. - M.: "Logos", 2001.

4. Zegzhda, D.P., Ivashko, A.M. „Základy bezpečnosti informačních systémů“.

5. Nosov, V.A. Úvodní kurz k disciplíně "Informační bezpečnost".

6. Federální zákon Ruské federace ze dne 27. července 2006 N 149-FZ „O informacích, informačních technologiích a ochraně informací“

Hostováno na Allbest.ru

Podobné dokumenty

Charakteristika informačních zdrojů zemědělského podniku "Ashatli". Hrozby zabezpečení informací specifické pro podnik. Opatření, metody a prostředky ochrany informací. Analýza nedostatků stávajícího a výhod aktualizovaného bezpečnostního systému.

semestrální práce, přidáno 2.3.2011


Obecné informace o činnosti podniku. Objekty informační bezpečnosti v podniku. Opatření a prostředky ochrany informací. Kopírování dat na vyměnitelné médium. Instalace interního záložního serveru. Efektivita zlepšování systému IS.

test, přidáno 29.08.2013


Pojem, význam a směry informační bezpečnosti. Systematický přístup k organizaci informační bezpečnosti, ochrana informací před neoprávněným přístupem. Prostředky ochrany informací. Metody a systémy informační bezpečnosti.

abstrakt, přidáno 15.11.2011


Systém vytváření režimu informační bezpečnosti. Úkoly informační bezpečnosti společnosti. Prostředky ochrany informací: základní metody a systémy. Ochrana informací v počítačových sítích. Ustanovení nejdůležitějších legislativních aktů Ruska.

abstrakt, přidáno 20.01.2014


Analýza rizik informační bezpečnosti. Hodnocení stávajících a plánovaných prostředků ochrany. Soubor organizačních opatření k zajištění informační bezpečnosti a ochrany podnikových informací. Kontrolní příklad realizace projektu a jeho popis.

práce, přidáno 19.12.2012


Strategie podnikové informační bezpečnosti v podobě systému účinných politik, které by definovaly efektivní a dostatečný soubor bezpečnostních požadavků. Identifikace hrozeb pro informační bezpečnost. Vnitřní kontrola a řízení rizik.

semestrální práce, přidáno 14.06.2015


Popis komplexu úkolů a zdůvodnění potřeby zlepšení systému zajištění bezpečnosti informací a ochrany informací v podniku. Vypracování projektu využití DBMS, informační bezpečnosti a ochrany osobních údajů.

práce, přidáno 17.11.2012


Regulační dokumenty v oblasti informační bezpečnosti v Rusku. Analýza hrozeb informačních systémů. Charakteristika organizace systému ochrany osobních údajů kliniky. Implementace autentizačního systému pomocí elektronických klíčů.

práce, přidáno 31.10.2016


Předpoklady pro vytvoření systému zabezpečení osobních údajů. Ohrožení bezpečnosti informací. Zdroje neoprávněného přístupu k ISPD. Zařízení informačních systémů osobních údajů. Prostředky ochrany informací. Pravidla bezpečnosti.

semestrální práce, přidáno 10.7.2016


Úkoly, struktura, fyzická, softwarová a hardwarová opatření k ochraně informačního systému. Druhy a příčiny počítačových zločinů, způsoby zlepšení bezpečnostní politiky organizace. Účel a hlavní funkce složky "Deník" MS Outlook 97.

Účel a cíle, předmět a předmět zkoumání

Základy koncepce a obsahu činností k zajištění národní bezpečnosti Ruské federace

Právní rámec pro zajištění veřejné bezpečnosti Ruské federace

Strategie národní bezpečnosti Ruské federace a úkoly orgánů činných v trestním řízení

Problémy federálního zákona Ruské federace "o bezpečnosti" č. 390-FZ

Způsoby, jak zlepšit legislativní rámec veřejné bezpečnosti

Definice ekonomické bezpečnosti

Struktura systému ekonomické bezpečnosti Ruské federace

Ohrožení ekonomické bezpečnosti

Kritéria hodnocení úrovně ekonomické bezpečnosti v zemi zahrnují zohlednění, stanovení a analýzu následujících parametrů

Hlavní součásti mechanismu zajištění ekonomické bezpečnosti státu a jeho regionů

Návrhy a doporučení pro optimalizaci národní bezpečnostní strategie Ruské federace s využitím efektivního systému ekonomiky

Hlavní směry realizace státní strategie zajištění ekonomické bezpečnosti na regionální úrovni