Системата за сигурност в Руската федерация и начините за нейното подобряване. Подобряване на системата за информационна сигурност Предложения за подобряване на информационната сигурност
КУРСОВИ ПРОЕКТ
на тема: „Подобряване на системата информационна сигурноств предприятието "UK "Ashatli" LLC"
Въведение
Темата за разработване на политика за информационна сигурност в предприятия, фирми и организации е актуална в модерен свят. Информационната сигурност (на ниво предприятия и организации) е сигурността на информацията и поддържащата инфраструктура от случайни или умишлени въздействия от естествен или изкуствен характер, които могат да причинят неприемлива вреда на субектите на информационните отношения.
Предприятието разполага с модерна локална мрежа и инсталиран необходимия софтуер, има и достъп до Интернет. При наличието на такъв брой информационни ресурси е необходимо да има политика за информационна сигурност. В това предприятие е необходимо да се подобри политиката за информационна сигурност, за да се минимизират заплахите за информационната сигурност, което е целта на този курсов проект. Заплаха за информационната сигурност е реално или потенциално действие, насочено към нарушаване на информационната сигурност, водещо до материални и морални щети.
1. Анализ на информационната сигурност на LLC “MC “Ashatli”
Обща информация за организацията
Агрохолдинг "Ашатли" е динамично развиваща се, вертикално и хоризонтално интегрирана група от селскостопански компании, участник в проекта "Купи Перм!"
Земеделско стопанство Ашатли е създадено през 2007 г. и днес има следните направления на дейност: млечно животновъдство, млекопреработка, растениевъдство, отглеждане на зеленчуци, салати и билки в оранжерии, хидропонно цветарство, както и търговия на дребно със земя и месо.
Едно от предимствата да бъдеш динамично развиващ се холдинг е гъвкавият подход към спецификата на работата и желанията на клиентите. Специалистите на компанията са в състояние да извършват работа с почти всякакъв обем и сложност. Разнообразният трудов опит и професионализмът на нашите служители ни позволява да гарантираме изпълнението на всички задачи в рамките на договорения срок.
Местоположение на Ashatli Management Company LLC
614010, Русия, Пермска област, Перм, Комсомолски проспект, 70а
1.2 Характеристики на информационните ресурси на предприятието
Съгласно Федералния закон „За информацията, информационните технологии и защитата на информацията“ публично достъпната информация включва общоизвестна информация и друга информация, до която достъпът не е ограничен. Обществено достъпната информация може да се използва от всяко лице по тяхно усмотрение, при спазване на ограниченията, установени от федералните закони относно разпространението на такава информация.
В LLC “UK “Ashatli” публична информацияпредставени на уебсайта на компанията или могат да бъдат предоставени от мениджъри на кампании. Тази информация включва:
информация, съдържаща се в устава на организацията.
Финансови отчети;
Състав на управление и др.;
Информация за награди и търгове за кампании;
Информация за свободни работни места и информация за броя и състава на служителите, условията на труд и системата на заплащане;
Данни за контакт на мениджърите на кампанията;
Организацията разполага и с информация, чието използване и разпространение подлежи на ограничения от нейния собственик, т.е. организация. Такава информация се нарича защитена информация. Това може да включва информация, свързана с личния живот на служителите на организацията.
Следващият вид информация е информация, която представлява търговска тайна. Съгласно Федералния закон „За информацията, информационните технологии и защитата на информацията“, информацията, представляваща търговска тайна (търговска тайна), е информация от всякакъв характер (производствена, техническа, икономическа, организационна и други), включително резултатите от интелектуалната дейност в научната - техническа сфера, както и информация за методите на изпълнение професионална дейност, които имат действителна или потенциална търговска стойност поради неизвестността им на трети лица, до които трети лица нямат свободен достъп на законово основание, по отношение на които собственикът на тази информация е въвел режим търговска тайна(Клауза 2, изменена с Федерален закон № 231-FZ от 18 декември 2006 г.)
Следната информация принадлежи към търговската тайна на LLC “UK “Ashatli”:
Информация за самоличността на работниците, домашни адреси.
Информация за клиенти, техните контактни и лични данни.
Информация за проекти, условия на договори.
ДА СЕ информационни ресурсиФирмата включва документи и актове на хартиен носител, локална компютърна мрежа.
1.3 Заплахи за информационната сигурност, специфични за това предприятие
Под заплаха за информационната сигурност се разбира възможността за нарушаване на основните качества или свойства на информацията - достъпност, цялостност и поверителност. Основният тип заплаха за информационната сигурност за дадена компания може да се счита за неоторизиран достъп до информация, свързана с търговска тайна.
Според методите за въздействие върху обектите на информационната сигурност, заплахите, които са от значение за обществото, са обект на следната класификация: информационни, софтуерни, физически, организационни и правни.
Информационните заплахи включват:
неоторизиран достъп до информационни ресурси;
кражба на информация от архиви и бази данни;
незаконно събиране и използване на информация;
Софтуерните заплахи включват:
компютърни вируси и зловреден софтуер;
ДА СЕ физически заплахиотнасям се:
унищожаване или унищожаване на средства за обработка на информация и комуникация;
кражба на носители за съхранение;
въздействие върху персонала;
Организационните и правните заплахи включват:
закупуване на несъвършени или остарели информационни технологиии информационни средства;
Предприятието "UK "Ashatli" LLC може да бъде изложено на такива информационни заплахи като
Хакване на бази данни или неразрешено използване на търговска информация с цел прехвърляне на данни към конкуренти на предприятието, което може да повлияе негативно на дейността на предприятието и в краен случай да доведе до неговото разрушаване или ликвидация.
Разкриване на поверителна информация от служители, използването й за лична изгода за печалба, тъй като много служители имат достъп до базата данни 1C Trade Management.
Служителите на предприятието могат умишлено или случайно да повлияят на разпространението на информация, например чрез имейл,ICQи върху други дигитална медиякомуникации, които могат да повлияят негативно на репутацията на предприятието, тъй като имат достъп до информацията на организацията.
Една от най-често срещаните заплахи за информационната сигурност са неуспехите и неуспехите. софтуер, технически средствакомпании, тъй като дори най-новото оборудване често се поврежда, компанията може да бъде снабдена и с технически нискокачествено оборудване.
В MC Ashatli LLC може да възникне ситуация на неоторизиран физически достъп до технически средства, които са източници на информация, както и кражба на носители с важна информация (флашка, външен твърд диск и др.) или само данни. По същество това е кражба на интелектуална собственост чрез мрежа или физическа кражба на медии.
Една от многото важни информационни заплахи са грешките на персонала на организацията. Пропуски в работата на мениджърите, нечестно изпълнение на задълженията им от консултанти могат да доведат до нарушаване на целостта на информацията, а също така могат да възникнат конфликтни ситуации с клиенти.
Софтуерните заплахи включват различни зловреден софтуер, загуба на пароли, несигурност на използвания софтуер и липса на резервна система.
1.4 Мерки, методи и средства за защита на информацията, използвани в предприятието
Законодателното ниво на защита е набор от законодателни актове в областта на информацията и информационните технологии. Това ниво включва: Конституцията на Руската федерация, Гражданският кодекс на Руската федерация, Наказателният кодекс на Руската федерация, Федералният закон „За информацията, информационните технологии и защитата на информацията“ и др.
Административното ниво на защита на информацията се отразява в програмата за информационна сигурност. Основата на програмата е политиката за информационна сигурност - публикуван документ (набор от документи), който се приема от ръководството на организацията и е насочен към защита на информационните ресурси на тази организация. В тази организация не е разработена политика за информационна сигурност и това ниво на защита на информацията не е осигурено.
Мерките на процедурно ниво, използвани за защита на информацията в LLC Management Company Ashatli, включват факта, че достъпът до сградата се извършва само с предварително споразумение и в сградата е инсталирана алармена система. Също така sСключен е договор за охрана на помещения с частна охрана.
Нека разгледаме инструментите за информационна сигурност, използвани в предприятието. Те са общо четири (хардуерни, софтуерни, смесени, организационни).
Използване антивирусна програмана всички компютри (ESET NOD32 Business Edition NOD 32 Antivirus)
С помощта на вграден Windows инструментиза упълномощаване на потребителя на компютъра.
Използване на специални влизания/пароли за оторизация в базата данни 1C Trade Management.
Хардуерна сигурност – брави, решетки, аларми, мрежови филтри, Камери за видеонаблюдение.
Средства за защита на софтуера: използвани инструменти операционна система, като защита, парола, акаунти.
Организационни средства за защита: подготовка на помещения с компютри.
На софтуерно и хардуерно ниво се прилагат следните мерки за защита на информацията:
2. Подобряване на системата за информационна сигурност
2.1 Слабости в системата за информационна сигурност
Някои от заплахите за информационната сигурност, като неоторизиран достъп отвън, неправилна работа на софтуер или технически повреди, се неутрализират доста успешно компетентна настройкаи мрежова администрация, но мерки за предотвратяване вътрешни заплахине съществува.
В процеса на анализ на съществуващата система за информационна сигурност в Ashatli Management Company LLC бяха идентифицирани следните недостатъци:
Не пълно използване функционалност 1C. Правата за достъп до данните в базата данни не са напълно разграничени, а паролите не отговарят на изискванията за сложност или просто не се използват от някои служители.
Няма ограничения за форматите и размерите на данните, предавани през интернет (*.т.т3,*. avi,*. rar) за определени служители.
Някои служители съхраняват поверителна информация в публични папки просто поради собствената си небрежност, а също така съхраняват данните за вход / парола за информационни системиизискване на оторизация на лесно достъпни места на работния плот.
Информацията на хартия практически не е защитена, с изключение на най-важната. (Споразумения за заем, договори за анюитет, резултати от проверка и др.)
2.2 Цели и задачи на създаването на система за информационна сигурност в предприятието
Следователно можем да заключим, че има голяма нужда от подобряване на съществуващата система за информационна сигурност. Също така е необходимо внимателно да се защити клиентска базакампания, защото е много важна информация, който не подлежи на разкриване сред непознати.
Служителите на кампанията често не осъзнават, че скоростта на дейността на компанията и следователно нейната конкурентоспособност, а оттам и нивото на техните заплати, пряко зависи от правилната организация на целостта на базите данни и документи и поддържането им в подреден вид.
Най-голяма заплаха за функционалността на електронното счетоводство представляват различните вируси, които попадат в компютри в мрежа през Интернет, както и възможността за достъп до електронни справочници и документи от неоторизирани лица.
Цели за защита на информацията:
– предотвратяване на заплахи за сигурността на предприятието поради неразрешени действия на унищожаване, модифициране, изкривяване, копиране, блокиране на информация или други форми на незаконна намеса в информационни ресурси и информационни системи;
– съхраняване на търговски тайни, обработвани с помощта на компютърни технологии;
– защита на конституционните права на гражданите за опазване на личната тайна и поверителността на личните данни, налични в информационните системи.
Целите на формирането на система за информационна сигурност в организацията са: целостта на информацията, надеждността на информацията и нейната поверителност. При изпълнение на поставените задачи целта ще бъде реализирана.
2.3 Предложени мерки за подобряване на системата за информационна сигурност на законодателно, административно, процедурно и хардуерно и софтуерно ниво
За отстраняване на установените недостатъци в системата за информационна сигурност на LLC Management Company Ashatli се предлага да се въведат следните мерки:
На законодателно ниво не се предвиждат промени за въвеждане на нови мерки за гарантиране на информационната сигурност.
Необходимо е да се въведат мерки на административно ниво в политиката за сигурност на компанията. На административно ниво се предлага:
Създайте поредица от инструкции за информационна сигурност в компанията за определени категории служители (промяна и съхраняване на пароли на недостъпни места, забрана на посещението на ресурси на трети страни и т.н.).
Осигурете редица мотивационни мерки за мотивиране на служителите да спазват политиката за сигурност, както и наказание за грубо нарушение на политиката за сигурност на компанията. (бонуси и глоби)
За подобряване на системата за сигурност на процесуално ниво се предлага следната поредица от мерки:
Ограничете достъпа на неоторизирани лица до определени отдели на компанията.
Провеждане на поредица от консултативни дейности със служители на организацията по въпросите на информационната сигурност и инструкции за спазване на политиката за сигурност.
На софтуерно и хардуерно ниво се предлага въвеждането на следните мерки:
Изисквайте всички служители да използват пароли за достъп до базата данни 1C и по-внимателно ограничавайте достъпа до определени данни от базата данни (директории, документи и отчети) за всички служители.
Необходимо е да смените всички стандартни потребителски имена и пароли за достъпADSL-Рутерът се нуждае от пароли, за да съответства на нивото на сложност.
Въведете ограничения върху файловите формати и размерите на файловете, предавани през интернет на отделни служители, като създадете филтри вESETNOD32 Бизнесиздание
По този начин ние взехме решение за промени в съществуващата система за информационна сигурност на управляващата компания Ashatli LLC. Сред тези промени ключова е работата с персонала, тъй като независимо какъв усъвършенстван софтуер за информационна сигурност се внедрява, въпреки това цялата работа с тях се извършва от персонала и основните повреди в системата за сигурност на организацията се причиняват като правило , от персонала. Правилно мотивираният персонал, фокусиран върху резултатите от работата, вече е половината от това, което е необходимо за ефективната работа на всяка система.
2.4 Ефективност на предложените мерки
Най-важното предимство на актуализираната система за сигурност в предприятието на LLC Management Company Ashatli са промените в нагласите на персонала. Повечето от проблемите в съществуващата система за сигурност бяха причинени от персонал.
Ползи от използванетоESET NOD32 Business Edition:
насочен към предприятия от 5 до 100 000 компютъра в една структура
инсталира се както на сървър, така и на работни станции
проактивна защита срещу неизвестни заплахи
прилагане на интелигентни технологии, комбиниращи евристични и сигнатурни методи за откриване
обновяемо евристично ядро ThreatSense
редовен автоматична актуализациябази данни със сигнатури
Разширяемо решение
пълно сканиране на цялата входяща кореспонденция чрез протоколи POP3 и POP3s
сканиране на входящи и изходящи електронна поща
подробен отчет за открит зловреден софтуер
пълна интеграция в популярни имейл клиенти: Microsoft Outlook, Outlook Express,Windows Mail, Windows Liveпоща, Mozilla Thunderbirdи The Bat!. Ограничаването на видовете и обемите на файловете, предавани и получавани чрез интернет от служителите, първо ще ограничи изтичането на всяка важна за организацията информация и второ, ще намали натоварването на интернет, тъй като каналите за предаване на данни няма да бъде зает с предаване на чужда информация.
Централизирано управление
Използване на разтвора ESET Remote Administrator Можете дистанционно да инсталирате и деинсталирате софтуерни продукти ESET , контролират работата на антивирусния софтуер, създават сървъри в мрежата за локални актуализации на продукта ESET („огледала“), които ви позволяват значително да намалите външния интернет трафик.
ESET NOD 32 Бизнес издание автоматично генерира отчет за открити заразени обекти, изпратени в карантина, за динамиката на заплахи, събития, сканирания, задачи, можете да генерирате различни комбинирани отчети и др. Възможно е да се изпращат предупреждения и съобщения чрез протокол SMTP или чрез диспечера на съобщенията.
Филтриране на имейл и уеб съдържание
Удобни отчети
Висококачествена антивирусна програма и мрежова защитаще ви позволи да избегнете смущения в работата на компютъра, това е особено важно за работните места на мениджъри и консултанти. Подобни подобрения ще се отразят на надеждността на кампанията като бизнес партньор за много клиенти, което ще има благоприятен ефект върху имиджа на кампанията, както и върху нейните приходи. Автоматичен архивиранеинформацията ще осигури нейната цялост и безопасност, а архивирането ще предостави възможност бързо възстановяванев необходимите ситуации.
3. Модел на информационна сигурност
Представеният модел за информационна сигурност е съвкупност от обективни външни и вътрешни фактори и тяхното влияние върху състоянието на информационната сигурност в обекта и върху безопасността на материалните или информационните ресурси. Като обекти се считат материално-технически средства, лични данни и документи.
ЗАЩИТЕН ОБЕМKTY
ЗАЩИТЕНИ ОБЕКТИ- лични данни на студентите f
acultheta;Лични досиета на студенти;
Лични карти на учениците;
Актуални документи;
Материално-технически активи.
ЗАПЛАХИ СИГУРНОСТ
- кражба;
- неоторизиран достъп;
- нарушаване целостта на информацията дажби;
Софтуерни и хардуерни повреди.
МЕТОДИ НА ЗАЩИТА
- регламенти;
- организационни, технически и режимни мерки и методи;
- софтуер и хардуер оби;
Организационна защита.
ИЗТОЧНИЦИ НА ЗАПЛАХИ
- антропогенни източници (персонал, ученици, натрапници);
Техногенни източници (софтуер и хардуер);
Естествени източници на заплахи (пожари, наводнения, земетресения и др.).
Заключение
В процеса на завършване на курсовия проект беше извършен анализ на инструментите за информационна сигурност на предприятието LLC Management Company Ashatli. Извършен е анализ на информационните ресурси на предприятието, анализ на заплахите за информационната сигурност и са идентифицирани съответните недостатъци.
Прилагането на предложените коригиращи мерки ще позволи на предприятието да повиши ефективността на мерките за сигурност и да намали риска от загуба на информация. Трябва да се отбележи, че процесът на организиране или реорганизиране на информационната сигурност е сложен процес, в който програмите, персоналът и оборудването си взаимодействат едновременно.
За да се реши проблемът с осигуряването на информационна сигурност, е необходимо да се използват законодателни, организационни, софтуерни и технически мерки, които напълно ще го премахнат.
Списък на използваната литература
Маклаков С.В. Създаване на информационни системи с AllFusion Modeling Suite. – М.: Диалог-МИФИ, 2003. – 432 с.
www. ashatli-agro.ru
Федерален закон № 231-F „За информацията, информационните технологии и защитата на информацията“ от 18 декември 2006 г.
федералният закон Руска федерацияот 27 юли 2006 г. № 149-FZ „За информацията, информационните технологии и защитата на информацията“
Министерство на вътрешните работи на Руската федерация
Федерална държавна образователна институция
висше образование
„Уфимски юридически институт на Министерството на вътрешните работи на Русия
федерация"
Дипломна презентация квалификационен трудНа
тема:
Система за сигурност на руски
Федерация и начини за нейното подобряване
Автор на произведението: чл. гр. ЕК/б-52з Лукянова О.А.
Ръководител: д.ф.н. Березинец О.М.
Цел и задачи, обект и предмет на изследване
Цел на изследването:разработване на научно обоснована концепция за система за безопасност и
предоставяне на начини за подобряването му в Руската федерация.
Цели на изследването:
разглеждат основите на концепцията и съдържанието на дейностите за осигуряване на националната сигурност
RF;
проучи осигуряването на концептуални и регулаторни рамки за национални и социални
сигурността на Руската федерация;
изучаване на стратегията за национална сигурност на Руската федерация и задачите на правоприлагането
органи;
отразяват икономическата сигурност като неразделен елемент от националната и социално-икономическата сигурност на страната: понятие и правна уредба;
анализирам сегашно състояние, заплахи и прагова стойност на икономическата сигурност;
разглежда методите за определяне на нивото на икономическа сигурност в Руската федерация;
проучи механизма за осигуряване на икономическата сигурност на Руската федерация;
отразяват проблемите на осъществяването на икономическата сигурност на Руската федерация;
предлага начини за подобряване на икономическата сигурност на Руската федерация.
Обект и предмет на изследване:
Обектът е системата за сигурност на Руската федерация.
Предмет на изследване са особеностите на отношенията, свързани със системата за сигурност в
Руска федерация.
Основи на концепцията и съдържанието на дейностите за осигуряване на националната сигурност на Руската федерация
1. Спецификите на политиката за национална сигурност са:че това е дейност на държавата, обществото и гражданите да идентифицират,
контрол, превенция, париране, намаляване, локализация,
неутрализират и елиминират възможностите за нанасяне на вреда на коренното население
интереси на страната и тяхното осъществяване
2. Самият обект на въздействието на силите и средствата за подкрепа
национална сигурност – заплахи и опасности – поз
са проблеми от национален мащаб от различни области
обществен живот, поставяйки страната на ръба на оцеляването.
3. Система за национална сигурност
е съюз на органи и отбранителни сили,
държавна и обществена сигурност.
4. Дейности на публичните органи и органи на управление
икономическа стабилизация, социална сигурност на населението, в
области на здравеопазването, образованието, културата и опазването на околната среда
природната среда създава необходимата основа за осигуряване
национална сигурност и често се включва в нея като
неразделна част от подсистемата за предотвратяване на заплахи.
Нормативна и правна рамка за осигуряване на обществената безопасност на Руската федерация
Конституцията на Руската федерация, федералните закони, законите на съставните образувания на Руската федерация,регулаторни правни актове на президента на Руската федерация и правителството на Руската федерация
Не по-малко значими са такива концептуални документи като Националната стратегия
сигурност на Руската федерация и Концепцията за обществена сигурност на Руската федерация. Подробно
Списъкът на правните основания за осигуряване на обществената безопасност се съдържа в чл. 7
„Концепцията за обществена сигурност в Руската федерация“, в която освен
горепосочените нормативни правни актове посочват общопризнати принципи и
норми на международното право, международни договори, както и конституции
(устав) на съставните образувания на Руската федерация и общините
Изтъкнати са и редица подзаконови нормативни актове
федерални органи на изпълнителната власт и органи на изпълнителната власт
субекти на Руската федерация, ведомствени нормативни правни актове.
Стратегията за национална сигурност на Руската федерация и задачите на правоприлагащите органи
5Стратегия за национална сигурност на руската федерация и
задачи правоохранителните органи
Според Стратегията за национална сигурност:
Основните направления за осигуряване на държавната и обществената сигурност са:
- засилване ролята на държавата като гарант за личната сигурност и правата на собственост;
- подобрение правна уредбапревенция на престъпността (включително информация
сфера), корупция, тероризъм и екстремизъм, трафик на наркотици и борба с подобни явления;
- развитие на взаимодействието между държавната сигурност и правоприлагащите органи и гражданското общество
общество, повишаване на доверието на гражданите в правоприлагащите и съдебните системи на Руската федерация.
начини за осигуряване на безопасност:
- повишаване ефективността на правоприлагащите органи;
- подобряване на сингъл държавно устройствопредотвратяване на престъпление;
- разработване и използване на специални мерки, насочени към намаляване на нивото на криминализация
връзки с обществеността;
- премахване на причините и условията, които пораждат корупцията, която е пречка за устойчиво
развитие на Руската федерация и изпълнение на стратегически национални приоритети;
- цялостно развитие на правоприлагащите органи и специални служби, укрепване на социалните гаранции
техните служители, подобряване на научната и техническата подкрепа за правоприлагащите дейности,
развитие на система за професионално обучение на специалисти в областта на предоставянето на държавни и
обществена безопасност;
- повишаване на социалната отговорност на органите за държавна и обществена сигурност;
- подобряване на структурата и дейността на федералните изпълнителни органи.
Проблеми на Федералния закон на Руската федерация „За сигурността“ № 390-FZ
6Проблеми на Федералния закон на Руската федерация „За
безопасност" № 390-FZ
1. законът трябва да има статут не просто на федерален, а на федерален
конституционен закон, тъй като за разлика от закона от 1992 г. този регулаторен
актът се основава на конкретни разпоредби от Конституцията на Руската федерация, в допълнение към които той
Основният закон съдържа и пряка инструкция (произтичаща от взаимосвързаните
разпоредбите на чл. 106 и 108 от Конституцията на Руската федерация, установяващи списъка с необходимите въпроси
FKZ селище)
2. понятието „сигурност“ беше заменено с понятието
„национална сигурност“, което подсказва и името
от този регулаторен правен акт за извършване на корекции и
определят, че това е закон за националната сигурност
3. буквално тълкуване на съдържанието на част 3 на чл. 4 от въпросния закон позволява
твърдят, че държавната политика в тази област се прилага само на
въз основа на подзаконови и регулаторни правни актове, издадени от президента на Руската федерация,
Правителството на Руската федерация и други субекти, осигуряващи националната сигурност
Начини за усъвършенстване на нормативната база за обществена безопасност
7Начини за подобряване на законодателството
бази за обществена безопасност
1. Да се избягват противоречиви тълкувания на понятието обществена безопасност, за
установяване на единен законодателно закрепен понятиен апарат, както и
с цел оптимизиране на работата и взаимодействието на всички органи на изпълнителната власт и
регулиране отделни видовеобществената безопасност трябва да бъде развита и
приемам федералният закон„За обществената безопасност в Руската федерация“
2. Необходимо е да се направят определени промени и корекции на съществуващите
в момента законодателната рамка. На първо място, трябва да се отбележи, че всеки
на базата функционира отделна институция за обществена сигурност
разнообразие от специални норми на федералното законодателство и
подзаконови и правилници. Това пряко влияе на ефективността
приложени и изпълнени мерки и действия
Определение за икономическа сигурност
8Определение за икономическа сигурност
Най-сполучливата дефиниция за икономическа сигурност, основана на
нашето мнение, дадено от I.Ya. Богданов. Според него икономически
сигурността е състоянието на икономиката на страната,
което по отношение на обемни и конструктивни параметри е
достатъчни за осигуряване на съществуващото състояние
държава, нейната независимост от външен натиск
политическо и социално-икономическо развитие, както и
достатъчни за поддържане на нивото на законните доходи,
осигурявайки абсолютно мнозинство от населението
благополучие, което отговаря на стандартите на цивилизовано
държави
Структурата на системата за икономическа сигурност на Руската федерация
9Структура на икономическата система
сигурността на Руската федерация
Заплахи за икономическата сигурност
10Заплахи за икономическата сигурност
Критериалната оценка на нивото на икономическа сигурност в една страна включва отчитане, определяне и анализ на следните параметри
11Критериална оценка на нивото на икономическа сигурност в
държава включва записване, идентифициране и анализ на следното
параметри
1. Състоянието на ресурсния потенциал, в рамките на което се изследва ефективността на използването на ресурсите,
капитал и труд, поддържане на държавен контрол върху стратегическите ресурси, обеми на износ на ресурси
извън държавата, без да нанася щети на националната икономика
2. Състоянието на научно-техническия потенциал на страната, което зависи от нивото на развитие на изследователските институти, възможността за въвеждане на иновативни научни разработки, способността
осигуряват независимостта на държавата в стратегически важни области на научно-техническия прогрес
3. Стабилността на финансовата система на държавата, определена от показателите за инфлация, формирането и
разход на държавния бюджет, степен на защитеност на пазарните субекти, конвертируемост
национална валута
4. Балансирана външноикономическа политика при едновременно задоволяване на търсенето на населението и
защита на местните производители
5. Стандарт на живот на населението (нива на бедност, безработица, имуществена диференциация, доходи след
данъчно облагане)
6. Конкурентоспособността на икономиката, която зависи от стратегическите действия на държавните агенции за
изпълнение на програми за развитие на определени отрасли и сектори на икономиката
7. Наличие на правни механизми за защита на интересите на субектите на националната икономика
Основните компоненти на механизма за осигуряване на икономическата сигурност на държавата и нейните региони
12Основни компоненти на опорния механизъм
икономическа сигурност на държавата и нейните региони
Предложения и препоръки за оптимизиране на стратегията за национална сигурност на Руската федерация чрез използване на ефективна икономическа система
13Предложения и препоръки за оптимизация на стратегията
националната сигурност на Руската федерация чрез използването
ефективна система за икономическа сигурност на Русия
1. в нормативен акт
консолидират не само стратегически
заплахи за националната сигурност
RF, но и контрамерки
чрез дефиниране на процеси,
подпроцеси, матрици
отговорности, срокове и
очаквани резултати при всяка
сцена
2. осигурете стриктно спазване
стратегии за развитие чрез контрол
на всеки етап със специален акцент
относно отговорността, сроковете и
изпълнение на плана
3. при всяка итерация корелирайте
разходи с резултати, акцент
за ефективно постигане на целите и
ефективност на действията
4. всяка държава
орган/служба трябва годишно
докладвайте за представянето си
чрез съпоставяне на разходите и приходите
бюджет чрез своите дейности,
което ще осигури премахването
неефективни служби и органи,
унифицирани и
стандартизиран подход към техните
дейности
5. затегнете нивото на отговорност
състояние длъжностни лица за престъпления и
извършени от тях престъпления,
което ще ви позволи да бъдете уверени в техните
безпристрастност и „чиста“ работа
6. уместност на употребата и
създаване на резервна система
7. вдъхнете желание у гражданите на Руската федерация
следват интересите на страната чрез
разбиране на необходимостта и
значението на действията, както и
завръщане в обществото
Основни насоки за изпълнение на държавната стратегия за осигуряване на икономическа сигурност на регионално ниво
14Основни насоки за изпълнение на държавната стратегия
осигуряване на икономическа сигурност в региона
ниво
1.
Преодоляване
последствия
криза,
постижение
икономически
растеж в
истински
сектор
икономика
регион и неговите
субординация
задачи
социално-икономически
развитие
държави
2.
Съществено
печалба
финансови
сигурност
регион,
приоритет
о укрепване
финансови
потенциал
истински
сектори
икономика,
предмети
управлявана
Ia от всички форми
Имот
И,
домакинства
3. Създаване
надежден
гаранции
технологично
Ох
сигурност;
актуализация и
замяна на стари
основен
финансови средства
предприятия
и институции
ниво
износвам
който
приближава
Да се
критичен
и възлиза на
80-82 %
4. Печалба
енергия
сигурност
регион,
изпълнение
активен
политици
пестене на енергия
научноизследователска и развойна дейност
собствен
енергиен потенциал
ала,
диверсификация
Аз съм пазари за продажби
продукти и
Създаване
условия за
истински
конкуренция в
сфера
снабден с енергия
и аз
5. Разтвор
Обща сума
комплекс
проблеми от
който
Зависи
храна
ная
безопасност
държави в
общо взето
6.
Недопускане
разширение
лошо качество
внесени
продукти и
храна
от тези стоки,
който
Може би
произвеждат в
необходимо
обеми
агроиндустрия
нов
комплекс в
регион
7. Решение
повечето
спешни проблеми в
сфера
дефиниции
дългосрочен
приоритети в
сфера
екологично
th
сигурност
и сигурност
околните
естествено
заобикаляща среда
След като анализирахме информационната сигурност на предприятието, можем да заключим, че не се обръща достатъчно внимание на следните точки в информационната сигурност:
– нередовно архивиране на корпоративната база данни;
– данните не се архивират на персоналните компютри на служителите;
– имейл съобщенията се съхраняват на сървъри пощенски услугив интернета;
– някои служители нямат достатъчно умения за работа автоматизирани системи;
– служителите имат достъп до персонални компютривашите колеги;
– липса на анти вирусни програмина някои работни станции;
– лошо разграничаване на правата за достъп до мрежови ресурси;
– няма правила за безопасност.
Всички по-горе са много важни недостатъци на осигуряването на корпоративна информационна сигурност.
Анализ на риска
Опасността от заплаха се определя от риска в случай на нейното успешно изпълнение. Рискът е потенциална вреда. Приемливостта на риска означава, че щетите, ако заплахата се реализира, няма да доведат до сериозни негативни последици за собственика на информацията. Организацията има следните рискове:
1. Нередовно архивиране на корпоративната база данни;
Последици: загуба на данни за дейността на предприятието.
2. Данните не се архивират на персоналните компютри на служителите;
Последици: Когато оборудването се повреди, някои важни данни могат да бъдат загубени.
3. Електронните съобщения се съхраняват на сървърите на пощенските услуги в Интернет;
4. Някои служители нямат достатъчно умения за работа с автоматизирани системи;
Последици: може да доведе до съхраняване на неправилни данни в системата.
5. Служителите имат достъп до персоналните компютри на своите колеги;
6. Липса на антивирусни програми на някои работни станции;
Последици: поява на вируси и зловреден софтуер в системата
7. Лоша диференциация на правата за достъп до мрежовите ресурси;
Последици: невнимание може да доведе до загуба на данни.
8. Няма правила за безопасност.
Цел и задачи на системата за информационна сигурност
Основната цел на системата за сигурност на предприятието е да предотврати увреждане на дейността му поради кражба на материално-технически средства и документация; унищожаване на имущество и ценности; разкриване, изтичане и неоторизиран достъп до източници на поверителна информация; неизправност на оборудването за техническа поддръжка производствени дейности, включително информационни технологии, както и предотвратяване на увреждане на персонала на предприятието.
Целите на системата за сигурност са:
· защита на правата на предприятието, неговите структурни подразделения и служители;
· опазване и ефективно използване на финансови, материални и информационни ресурси;
· повишаване на имиджа и ръст на печалбата на предприятието чрез осигуряване на качеството на услугите и безопасността на клиентите.
Цели на корпоративната система за сигурност:
· своевременно идентифициране и отстраняване на заплахи за персонала и ресурсите; причини и условия, водещи до причиняване на финансови, материални и морални щети на интересите на предприятието, нарушаване на неговите нормално функциониранеи развитие;
· класификация на информацията в категории ограничен достъп, а други ресурси - с различна степен на уязвимост (опасност) и подлежащи на опазване;
· създаване на механизъм и условия за бърза реакция при заплахи за сигурността и прояви на негативни тенденции във функционирането на предприятието;
· ефективно потушаване на атаки срещу ресурси и заплахи за персонала на базата на интегриран подход към сигурността;
Организацията и функционирането на системата за сигурност трябва да се основава на следните принципи:
Сложност. Включва осигуряване безопасността на персонала, материалните и финансовите ресурси, информацията от всички възможни заплахис всички налични законови средства и методи, през целия жизнен цикъл и във всички режими на работа, както и способността на системата да се развива и усъвършенства по време на експлоатация.
Надеждност. Различните зони за сигурност трябва да бъдат еднакво надеждни по отношение на вероятността от възникване на заплаха.
Навременност. Способността на системата да има проактивен характер въз основа на анализ и прогнозиране на заплахи за сигурността и разработване на ефективни мерки за противодействие на тях.
Приемственост. Няма прекъсвания в работата на системите за сигурност, причинени от ремонт, подмяна, поддръжка и др.
Законност. Разработване на системи за сигурност на базата на съществуващото законодателство.
Разумна достатъчност. Установяване на приемливо ниво на сигурност, при което вероятността и размерът на възможните щети ще бъдат съчетани с максимално допустимите разходи за разработване и експлоатация на системата за сигурност.
Централизация на управлението. Самостоятелно функциониране на системата за сигурност по единни организационни, функционални и методически принципи.
Компетентност. Системата за сигурност трябва да се създава и управлява от лица с професионална подготовка, достатъчна за правилна оценка на ситуацията и вземане на адекватни решения, включително и в условия на повишен риск.
Най-уязвимата точка в системата за сигурност може да се нарече корпоративни служители и софтуер и хардуер. По-специално, данните на персоналните компютри не се архивират в случай на повреда на оборудването, някои важни данни могат да бъдат загубени; Операционната система MS Windows XP и използвания софтуер не са актуализирани, което може да доведе до неоторизиран достъп до информация, съхранявана на компютъра или нейното увреждане поради грешки в софтуера; Достъпът на служителите до интернет ресурси не се контролира, което може да доведе до изтичане на данни; бизнес имейл кореспонденцията се води през интернет чрез незащитени канали, имейл съобщенията се съхраняват на сървъри на пощенски услуги в интернет; някои служители нямат достатъчно умения за работа с автоматизираните системи, използвани в академията, което може да доведе до появяване на некоректни данни в системата; служителите имат достъп до персоналните компютри на своите колеги, което при невнимание може да доведе до загуба на данни; Всички членове на факултета имат достъп до архива, в резултат на което някои лични файлове могат да бъдат загубени или търсенето им да отнеме много време; Няма правила за безопасност.
Основната цел на системата за информационна сигурност е да осигури устойчиво функциониране на съоръжението, да предотврати заплахи за неговата сигурност, да защити легитимните интереси на предприятието от незаконни атаки, да предотврати разкриване, загуба, изтичане, изкривяване и унищожаване на частна информация и лична информация, осигуряваща нормална производствена дейност на всички звена на обекта.
Друга цел на системата за информационна сигурност е подобряване качеството на предоставяните услуги и гаранциите за сигурност.
Целите на формирането на система за информационна сигурност в организацията са: целостта на информацията, надеждността на информацията и нейната поверителност. При изпълнение на поставените задачи целта ще бъде реализирана.
Създаването на системи за информационна сигурност в ИС и ИТ се основава на следните принципи:
Систематичен подход за изграждане на система за сигурност, което означава оптимална комбинация от взаимосвързани организационни, софтуерни, хардуерни, физически и други свойства, потвърдени от практиката на създаване на вътрешни и чуждестранни системи за сигурност и използвани на всички етапи от технологичния цикъл на обработка на информация.
Принципът на непрекъснато развитие на системата. Този принцип, който е един от основните принципи за компютърните информационни системи, е още по-актуален за информационната сигурност. Методите за внедряване на информационни заплахи в ИТ непрекъснато се подобряват и следователно осигуряването на IP сигурност не може да бъде еднократен акт. Това е непрекъснат процес, състоящ се от обосноваване и прилагане на най-рационалните методи, методи и начини за подобряване на системата за информационна сигурност, непрекъснат мониторинг, идентифициране на нейните пречки и слабости, потенциални канали за изтичане на информация и нови методи за неоторизиран достъп.
Разделяне и минимизиране на правомощията за достъп до обработваната информация и процедурите за обработка, т.е. предоставяне както на потребителите, така и на самите служители на ИС на минимум строго определени правомощия, достатъчни за изпълнение на служебните им задължения.
Пълен контрол и регистриране на опити за неоторизиран достъп, т.е. необходимостта от точно установяване на самоличността на всеки потребител и записване на действията му за евентуално разследване, както и невъзможността да се извърши каквато и да е операция по обработка на информация в ИТ, без предварително да се регистрира.
Осигуряване на надеждността на защитната система, т.е. невъзможността за намаляване на нивото на надеждност в случай на повреди, повреди, умишлени действия на хакер или неволни грешки на потребителите и персонала по поддръжката в системата.
Осигуряване на контрол върху функционирането на системата за защита, т.е. създаване на средства и методи за наблюдение на работата на защитните механизми.
Предоставяне на всички видове инструменти за защита от зловреден софтуер.
Осигуряване на икономическа целесъобразност на използването на система за защита, изразяваща се в превишаване на възможните щети за ИС и ИТ от внедряването на заплахи над разходите за разработване и експлоатация на ШИС.
2. ESET NOD 32 антивирусна система за защита срещу компютърни вируси.
Базите данни се актуализират нередовно и работните станции се сканират.
3. Вградено Windows Backup за създаване на архиви.
OS Backup Wizard е програма, предназначена за бързо създаване и възстановяване на архив копия на Windows. Позволява ви да създадете копие на целия Windows или само отделни файловеи папки.
4. Криптиране с 2048 битов ключ за vpn канала (връзка с офиса управляващо дружествоза управление на поща и документи).
Глава 2. Подобряване на NIB
2.1 Слабости в системата за информационна сигурност
Когато се анализират проблемите, свързани с информационната сигурност, е необходимо да се вземе предвид спецификата на този аспект на сигурността, която се състои в това, че информационната сигурност е компонентинформационните технологии са област, която се развива с безпрецедентно високи темпове. Тук са важни не толкова индивидуалните решения (закони, курсове за обучение, софтуерни и хардуерни продукти), разположени върху съвременно ниво, колко много механизми за генериране на нови решения, които ви позволяват да живеете с темпото на технологичния прогрес.
Съвременните технологии за програмиране не позволяват създаването на програми без грешки, което не допринася за бързото развитие на средствата за информационна сигурност.
След като анализирахме информационната сигурност на предприятието, можем да заключим, че не се обръща достатъчно внимание на информационната сигурност:
Липса на пароли за достъп до системата;
Без пароли при работа с програмата с 1C: Enterprise, при промяна на данни;
Няма допълнителна защита на файлове и информация (няма основна заявка за парола при отваряне или промяна на информация във файлове, да не говорим за инструменти за криптиране на данни);
Нередовно обновяване на бази данни на антивирусни програми и сканиране на работни станции;
Голям брой хартиени документи се съхраняват предимно в папки (понякога без тях) на работния плот на служителя, което позволява на нападателите лесно да използват този тип информация за свои собствени цели;
Няма редовно обсъждане на проблемите на информационната сигурност в предприятието и възникващите проблеми в тази област;
Не се организира редовно тестване на функционалността на информационните системи на предприятието;
Липса на политика за информационна сигурност;
Липса на системен администратор.
Всички по-горе са много важни недостатъци на осигуряването на корпоративна информационна сигурност.
2.2 Предназначение и задачи на системата за информационна сигурност
Информационна сигурност - състоянието на сигурността на информационните ресурси в компютърни мрежии корпоративни системи от неоторизиран достъп, случайна или умишлена намеса в нормалното функциониране на системите и опити за унищожаване на техните компоненти.
Цели за защита на информацията:
предотвратяване на заплахи за сигурността на предприятието поради неразрешени действия на унищожаване, модифициране, изкривяване, копиране, блокиране на информация или други форми на незаконна намеса в информационни ресурси и информационни системи;
съхраняване на търговски тайни, обработвани с помощта на компютърни технологии;
защита на конституционните права на гражданите за опазване на личната тайна и поверителността на личните данни, налични в информационните системи.
За да се постигнат целите на защитата, трябва ефективно да се решат следните задачи:
· защита от намеса във функционирането на предприятието от неоторизирани лица;
· защита от неразрешени действия с информационните ресурси на предприятието от неупълномощени лица и служители, които нямат съответните правомощия;
· осигуряване на пълнота, надеждност и ефективност на информационната поддръжка за вземане на управленски решения от ръководството на предприятието;
· осигуряване на физическа безопасност на хардуера и софтуера на предприятието и защитата им от изкуствени и природни източници на заплахи;
· регистриране на събития, засягащи сигурността на информацията, осигуряване на пълен контрол и отчетност на всички операции, извършвани в предприятието;
· своевременно идентифициране, оценка и прогнозиране на източници на заплахи за информационната сигурност, причини и условия, които допринасят за увреждане на интересите на субектите, нарушаване на нормалното функциониране и развитие на предприятието;
· анализ на рисковете от заплахи за информационната сигурност и оценка на възможните щети, предотвратяване на неприемливи последици от нарушаване на информационната сигурност на предприятието, създаване на условия за минимизиране и локализиране на причинените щети;
· осигуряване на възможността за възстановяване на текущото състояние на предприятието в случай на нарушение на информационната сигурност и отстраняване на последствията от тези нарушения;
· създаване и формиране на целева политика за информационна сигурност на предприятието.
2.3 Мерки и средства за подобряване на системата за информационна сигурност
За постигане на поставените цели и решаване на проблеми е необходимо да се извършват дейности на нива на информационна сигурност.
Административно ниво на информационна сигурност.
За да се създаде система за информационна сигурност, е необходимо да се разработи и утвърди политика за информационна сигурност.
Политиката за сигурност е набор от закони, правила и норми на поведение, насочени към защита на информацията и ресурсите, свързани с нея.
Трябва да се отбележи, че разработената политика трябва да бъде в съответствие със съществуващите закони и разпоредби, имащи отношение към организацията, т.е. тези закони и разпоредби трябва да бъдат идентифицирани и взети предвид при разработването на политики.
Колкото по-надеждна е системата, толкова по-строга и разнообразна трябва да бъде политиката за сигурност.
В зависимост от формулираната политика могат да бъдат избрани конкретни механизми за гарантиране на сигурността на системата.
Организационно ниво на информационна сигурност.
Въз основа на недостатъците, описани в предишния раздел, могат да бъдат предложени следните мерки за подобряване на информационната сигурност:
Организация на работа за обучение на персонала в трудови умения с нов софтуерни продуктис участието на квалифицирани специалисти;
Разработване на необходимите мерки, насочени към подобряване на системата за икономическа, социална и информационна сигурност на предприятието.
Провеждане на обучение, за да се гарантира, че всеки служител разбира важността и поверителността на поверената му информация, тъй като по правило причината за разкриването на поверителна информация е недостатъчното познаване на служителите на правилата за защита на търговските тайни и неразбирането (или неразбиране) на необходимостта от тяхното внимателно спазване.
Строг контролспазване от служителите на правилата за работа с конфиденциална информация;
Контрол на спазването на правилата за съхранение на работната документация на служителите на предприятието;
Планирано провеждане на срещи, семинари, дискусии по проблемите на корпоративната информационна сигурност;
Редовно (планово) тестване и поддръжка на всички информационни системи и информационна инфраструктура за работоспособност.
Назначаване на постоянен системен администратор.
Софтуерни и хардуерни мерки за защита на информацията.
Софтуерът и хардуерът са едни от най-важните компоненти при внедряването защита на информациятапредприятията, следователно, за да се повиши нивото на информационна сигурност, е необходимо да се въведат и прилагат следните мерки:
Въвеждане на потребителски пароли;
За да регулирате достъпа на потребителите до информационните ресурси на предприятието, е необходимо да въведете списък с потребители, които ще влязат в системата под тяхното име. Използване на ОС Windows сървър 2003 Std, инсталиран на сървъра, можете да създадете списък с потребители със съответните пароли. Раздайте пароли на служителите с подходящи инструкции за тяхното използване. Също така е необходимо да въведете дата на изтичане на паролата, след която потребителят ще бъде подканен да промени паролата. Ограничете броя на опитите за влизане с неправилна парола (например до три).
Въвеждане на заявка за парола в програмата 1C: Enterprise при работа с база данни, при промяна на данни. Това може да стане с помощта на софтуерКомпютър и програми.
Контрол на достъп до файлове, директории, дискове.
Достъпът до файлове и директории ще бъде ограничен системен администратор, което ще позволи достъп до съответните дискове, папки и файлове за всеки потребител конкретно.
Редовно сканиране на работните станции и актуализиране на базите данни на антивирусната програма.
Позволява ви да откривате и неутрализирате зловреден софтуер и да премахвате причините за инфекциите. Необходимо е да се извърши инсталиране, конфигуриране и експлоатация на инструменти и системи антивирусна защита.
За да направите това, трябва да конфигурирате вашата антивирусна програма да сканира редовно вашия компютър и редовно да актуализира базите данни от сървъра.
Инсталиране на защитната стена Agnitum Outpost FireWall на сървърния компютър, която блокира атаки от интернет.
Предимства от използването на защитната стена Agnitum Outpost FireWall:
¾ контролира връзките между компютър и други, като блокира хакери и предотвратява неоторизиран външен и вътрешен достъп до мрежата.
