Подобряване на системата за информационна сигурност в предприятието. Подобряване на системата за информационна сигурност в предприятието LLC UK Achatli Подобряване на системата за информационна сигурност в предприятието

Изпратете добрата си работа в базата знания е лесно. Използвайте формата по-долу

Студенти, докторанти, млади учени, които използват базата от знания в обучението и работата си, ще ви бъдат много благодарни.

Публикувано на http://www.allbest.ru/

КУРСОВИ ПРОЕКТ

В дисциплината "Информационна сигурност"

По темата

„Подобряване на системата за информационна сигурност в

LLC "Овен"

Въведение

Когато говорим за информационна сигурност, в момента имаме предвид, строго погледнато, компютърната сигурност. Всъщност информацията, намерена на електронна медияиграе все по-важна роля в живота на съвременното общество. Уязвимостта на такава информация се дължи на редица фактори: огромни обеми, многоточковост и възможна анонимност на достъпа, възможността за „информационен саботаж”... Всичко това прави задачата да се гарантира сигурността на информацията, намираща се в компютърна среда, много по-сложен проблем от, да речем, запазването на тайната на традиционната пощенска кореспонденция.

Ако говорим за сигурността на информацията, съхранявана на традиционни носители (хартия, фотопечат и др.), Тогава нейната безопасност се постига чрез спазване на мерките за физическа защита (т.е. защита от неразрешено влизане в зоната за съхранение на носители). Други аспекти на защитата на такава информация са свързани с природни и причинени от човека бедствия. По този начин концепцията за „компютърна“ информационна сигурност като цяло е по-широка в сравнение с информационната сигурност по отношение на „традиционните“ медии.

Ако говорим за различия в подходите за решаване на проблема с информационната сигурност на различни нива (държавно, регионално, ниво на една организация), тогава такива различия просто не съществуват. Подходът за гарантиране на сигурността на Държавната автоматизирана система "Избори" не се различава от подхода за осигуряване на сигурност локална мрежав малка компания. Следователно принципите за осигуряване на информационна сигурност в тази работа се обсъждат с помощта на примери за дейностите на отделна организация.

Целта на курсовия проект е да подобри системата за информационна сигурност на Aries LLC. Целите на курсовата работа ще бъдат анализ на Oven LLC, неговите ресурси, структура и съществуваща система за информационна сигурност в предприятието и търсене на методи за нейното подобряване.

На първия етап ще бъде извършен анализ на системата за информационна сигурност. Въз основа на получените резултати на втория етап ще се търсят методи за подобряване на информационната сигурност, ако има такива. слаби странив тази система.

1. Анализ на системата за информационна сигурност в Aries LLC

1.1 Характеристика на предприятието. Организационна и щатна структура на предприятието. Услуга за информационни ресурси и тяхната защита

Пълното фирмено наименование на предприятието е дружество с ограничена отговорност "Овен". Съкратеното наименование на дружеството е Овен ООД. По-нататък в текста Общество. Компанията няма клонове или представителства, единственият й център се намира в Пермска територия, район Суксунски, село Мартяново.

Дружеството е основано през 1990 г. като малко стопанство и има трима учредители. След преустройството на стопанството в селско стопанство през 1998 г. остава единственият основател. Последният път, когато реорганизацията беше извършена през април 2004 г. От 1 април дружеството става известно като дружество с ограничена отговорност "Овен".

Основната дейност на фирмата е отглеждане на селскостопанска продукция, посевен материал и продажба на селскостопанска продукция. Днес в Русия компанията е на тринадесето място сред предприятията за отглеждане на картофи и на първо място в района на Перм.

Юридически адрес: Русия, 617553, Пермска област, Суксунски, село Мартяново.

Цели на предприятието като цяло:

· Получаване на печалба от основна дейност.

· Повишаване конкурентоспособността на продуктите и разширяване на пазарите за продажби.

· Концентрация на капитал и увеличаване на инвестиционния ресурс за реализиране на инвестиционни и други проекти.

Мисия на компанията:

1. Продължете да заемате водеща позиция на пазара.

2. Създаване на семенна ферма.

Организационна структура на предприятието.

Предприятието използва линейно-функционална структура. При линейно-функционална структура се формира йерархия на услугите. В тази структура ръководителите на функционални отдели имат право да дават нареждания на следващото ниво на управление по функционални въпроси.

Структурата на предприятието е показана на фигура 1.

Публикувано на http://www.allbest.ru/

Публикувано на http://www.allbest.ru/

Фигура 1 - Организационна структура на Aries LLC

1.2 Анализ и характеристики на информационните ресурси на предприятието

Днес всички са загрижени за сигурността корпоративна информация. Набира все по-голяма популярност индивидуални програмии цели комплекси, предназначени за защита на данните. Никой обаче не мисли за факта, че можете да имате толкова надеждна защита, колкото искате, но въпреки това да загубите важна информация. Защото някой от служителите ви ще го сметне за незначително и ще го изложи на всеослушание. И ако сте сигурни, че сте защитени от това, тогава много грешите. На пръв поглед подобна ситуация изглежда някак нереална, като на шега. Това обаче се случва и се случва често. Всъщност техническият персонал, който в по-голямата част от случаите се занимава с проблемите на информационната сигурност, не винаги разбира кои данни трябва да бъдат скрити и кои не. За да разберете, трябва да разделите цялата информация на различни видове, които обикновено се наричат ​​типове, и ясно определят границите между тях.

Всъщност всички фирми, специализирани в доставката на интегрирани системи за сигурност компютърна информация, вземете предвид разделянето на данните по различни видове. Тук просто трябва да внимавате. Факт е, че западните продукти следват международните стандарти (по-специално ISO 17799 и някои други). Според тях всички данни се делят на три вида: отворени, поверителни и строго поверителни. Междувременно в нашата страна, според действащото законодателство, се използва малко по-различно разграничение: отворена информация за вътрешна употребаи поверително.

Отворена означава всяка информация, която може свободно да се предава на други лица, както и да се публикува в медиите. Най-често се представя под формата на прессъобщения, речи на конференции, презентации и изложби и отделни (разбира се, положителни) елементи на статистиката. В допълнение, тази класификация включва всички данни, получени от отворени външни източници. И, разбира се, информацията, предназначена за корпоративен уебсайт, също се счита за публична.

На пръв поглед изглежда, че отворената информация не се нуждае от защита. Хората обаче забравят, че данните могат не само да бъдат откраднати, но и заменени. Следователно поддържането на целостта на отворената информация е много важна задача. В противен случай, вместо предварително подготвено прессъобщение, може да получите нещо неразбираемо. Или начална страницакорпоративният сайт ще бъде заменен с обидни надписи. Така че отворената информация също се нуждае от защита.

Като всяко друго предприятие, компанията разполага с отворена информация, съдържаща се основно в презентации, показвани на потенциални инвеститори.

Информация за вътрешно ползване включва всички данни, които се използват от служителите за изпълнение на техните професионални задължения. Но това не е всичко. Тази категория включва цялата информация, която се обменя между различни отдели или клонове, за да се гарантира тяхната функционалност. И накрая, последният тип данни, които попадат в тази категория данни, е информация, получена от отворени източници и подложена на обработка (структуриране, редактиране, уточняване).

Всъщност цялата тази информация, дори и да попадне в ръцете на конкуренти или нападатели, не може да причини сериозна вреда на компанията. Все пак може да има някакви щети от нейното отвличане. Да кажем, че служителите са събрали новини за своя шеф по интересуваща го тема, сред които са избрали най-важните съобщения и са ги маркирали. Такъв дайджест е очевидно информация за вътрешна употреба (информацията е получена от отворени източници и обработена). На пръв поглед изглежда, че конкурентите, след като са го придобили, няма да могат да се възползват от него. Но всъщност те могат да познаят от каква област на дейност се интересува ръководството на вашата компания и, кой знае, може би дори ще успеят да ви изпреварят. Следователно информацията за вътрешна употреба трябва да бъде защитена не само от подмяна, но и от неоторизиран достъп. Вярно е, че в по-голямата част от случаите можете да се ограничите до сигурността на локалната мрежа, тъй като харченето на големи суми за това не е икономически изгодно.

Предприятието представя и този вид информация, която се съдържа в различни видове справки, списъци, извлечения и др.

Поверителна информация - документирана информация, достъпът до която е ограничен в съответствие със закона Руска федерация, който не е публично достъпен и разгласяването му би могло да увреди правата и защитените от закона интереси на лицето, което го е предоставило. Списъкът с данни, свързани с тази класификация, се определя от държавата. Към момента това са: лична информация, информация, представляваща търговска, служебна или професионална тайна, информация, която е следствена и служебна тайна. Освен това в напоследъкДанните за същността на едно изобретение или научно откритие започнаха да се класифицират като поверителни преди официалното им публикуване.

Поверителната информация в едно предприятие включва данни като: план за развитие, изследователска работа, техническа документация, чертежи, разпределение на печалбата, договори, отчети, ресурси, партньори, преговори, договори, както и информация за управление и планиране.

Предприятието разполага с около двадесет компютъра. Що се отнася до наличието на локална мрежа в едно предприятие, компютрите в обществото не са обединени в една мрежа. Освен това всички компютри са оборудвани стандартен комплект офис програмии счетоводни програми. Три компютъра имат достъп до Интернет през WAN Miniport. Въпреки това нито един компютър в предприятието не е оборудван с антивирусна програма. Обменът на информация се осъществява чрез медии: флаш памети, дискети. Цялата информация на „традиционните” медии се намира в шкафове, които не се заключват. Най-важните документи се съхраняват в сейф, ключовете от който се съхраняват при секретаря.

защита на информацията сигурност

1.3 Заплахи и средства за защита на информацията в предприятието

Заплаха за информационната сигурност - съвкупност от условия и фактори, които създават потенциална или действителна опасност, свързана с изтичане на информация и/или неразрешени и/или непреднамерени въздействия върху нея

Според методите за въздействие върху обектите на информационната сигурност заплахите, които са от значение за обществото, са обект на следната класификация: информационни, софтуерни, физически, организационни и правни.

Информационните заплахи включват:

неоторизиран достъп до информационни ресурси;

· кражба на информация от архиви и бази данни;

· нарушение на технологията за обработка на информация;

· незаконно събиране и използване на информация;

Софтуерните заплахи включват:

компютърни вируси и зловреден софтуер;

ДА СЕ физически заплахиотнасям се:

· унищожаване или унищожаване на средства за обработка на информация и комуникация;

· кражба на носители за съхранение;

· въздействие върху персонала;

Организационните и правните заплахи включват:

· доставка на несъвършени или остарели информационни технологиии информационни средства;

Средствата за информационна сигурност са набор от инженерни, електрически, електронни, оптични и други устройства и устройства, устройства и технически системи, както и други материални елементи, използвани за решаване на различни проблеми на защитата на информацията, включително предотвратяване на течове и гарантиране на сигурността на защитената информация.

Нека разгледаме инструментите за информационна сигурност, използвани в предприятието. Те са общо четири (хардуерни, софтуерни, смесени, организационни).

Хардуерна защита- брави, решетки, аларми, предпазители от пренапрежение, камери за видеонаблюдение.

Софтуерна защита: използват се инструменти на операционната система, като защита с парола, акаунти.

Организационни средства за защита: подготовка на помещения с компютри.

2 Подобряване на системата за информационна сигурност

2.1 Констатирани пропуски в системата за информационна сигурност

Най-уязвимото място в защитата на информацията в обществото е защитата компютърна сигурност. Дори един повърхностен анализ на предприятието може да подчертае следните недостатъци:

§ Произвежда се рядко архивиранеинформация;

§ Недостатъчно ниво софтуерзащита на информацията;

§ Някои служители нямат достатъчно компютърни умения;

§ Няма контрол над служителите. Често служителите могат да напуснат работното си място, без да изключат компютъра си и да носят флашка с официална информация.

§ Липса на нормативни документи по информационна сигурност.

§ Не всички компютри използват функции на ОС като пароли и акаунти.

2.2 Цели и задачи на създаването на система за информационна сигурност в предприятието

Основната цел на системата за информационна сигурност е да осигури устойчиво функциониране на съоръжението, да предотврати заплахи за неговата сигурност, да защити легитимните интереси на предприятието от незаконни атаки, да предотврати кражба на финансови ресурси, разкриване, загуба, изтичане, изкривяване и унищожаване на служебна информация, осигуряване на нормално производствени дейностивсички отдели на съоръжението. Друга цел на системата за информационна сигурност е подобряване качеството на предоставяните услуги и гарантиране сигурността на правата на собственост и интереси.

Целите на формирането на система за информационна сигурност в една организация са: целостта на информацията, надеждността на информацията и нейната поверителност. При изпълнение на поставените задачи целта ще бъде реализирана.

Създаването на системи за сигурност на информацията (ИСС) в ИС и ИТ се основава на следните принципи:

Систематичен подход за изграждане на система за сигурност, което означава оптимална комбинация от взаимосвързани организационни, софтуерни, хардуерни, физически и други свойства, потвърдени от практиката на създаване на вътрешни и чуждестранни системи за сигурност и използвани на всички етапи от технологичния цикъл на обработка на информация.

Принципът на непрекъснато развитие на системата. Този принцип, който е един от основните принципи за компютърните информационни системи, е още по-актуален за информационната сигурност. Методите за внедряване на информационни заплахи в ИТ непрекъснато се подобряват и следователно осигуряването на IP сигурност не може да бъде еднократен акт. Това е непрекъснат процес, състоящ се от обосноваване и прилагане на най-рационалните методи, методи и начини за подобряване на системата за информационна сигурност, непрекъснат мониторинг, идентифициране на нейните пречки и слабости, потенциални канали за изтичане на информация и нови методи за неоторизиран достъп.

Разделяне и минимизиране на правомощията за достъп до обработваната информация и процедурите за обработка, т.е. предоставяне както на потребителите, така и на самите служители на ИС на минимум строго определени правомощия, достатъчни за изпълнение на служебните им задължения.

Пълен контрол и регистриране на опитите за неоторизиран достъп, т.е. необходимостта от точно установяване на самоличността на всеки потребител и записване на действията му за евентуално разследване, както и невъзможността за извършване на каквато и да е операция по обработка на информация в ИТ без нейната предварителна регистрация.

Осигуряване на надеждността на системата за защита, т.е. невъзможността за намаляване на нивото на надеждност в случай на повреди, повреди, умишлени действия на хакер или неволни грешки на потребителите и персонала по поддръжката в системата.

Осигуряване на контрол върху функционирането на системата за защита, т.е. създаване на средства и методи за наблюдение на работата на защитните механизми.

Предоставяне на всички видове инструменти за защита от зловреден софтуер.

Осигуряване на икономическа целесъобразност на използването на система за защита, изразяваща се в превишаване на възможните щети за ИС и ИТ от внедряването на заплахи над разходите за разработване и експлоатация на ШИС.

2.3 Предложени мерки за подобряване на системата за информационна сигурност на организацията

Идентифицираните недостатъци в предприятието изискват тяхното отстраняване, затова се предлагат следните мерки.

§ Редовно архивиране на базата данни с лични данни на служителите на компанията, счетоводни данни и други бази данни, налични в предприятието. Това ще предотврати загуба на данни поради повреда на диска, прекъсване на захранването, вируси и други злополуки. Внимателното планиране и редовните процедури за архивиране ви позволяват бързо да възстановите данните си, ако ги загубите.

§ Използване на OS инструменти на всеки компютър. Създавайте акаунти за специалисти и редовно променяйте паролата за тези акаунти.

§ Обучение на персонала на предприятието за работа с компютри. ПредпоставкаЗа правилна работана работни станции и предотвратяване на загуба и повреда на информация. Работата на цялото предприятие зависи от компютърните умения на персонала, по отношение на правилното изпълнение.

§ Инсталиране на антивирусни програми на компютри като: Avast, NOD, Doctor Web и др. Това ще предпази компютъра ви от заразяване с различни злонамерени програми, наречени вируси. Което е много важно за това предприятие, тъй като няколко компютъра имат достъп до интернет и служителите използват флашки за обмен на информация.

§ Наблюдение на служители с помощта на видеокамери. Това ще намали случаите на невнимателно боравене с оборудване, риска от кражба и повреда на оборудването, а също така ще ви позволи да контролирате „премахването“ на частна информация от територията на компанията.

§ Разработване на нормативен документ „Мерки за защита на информацията в Oven LLC и отговорност за техните нарушения“, който да отговаря на действащото законодателство на Руската федерация и да определя рисковете, нарушенията и отговорността за тези нарушения (глоби, наказания). Както и да впише съответната графа в трудовия договор на компанията, като посочи, че е запознат и се задължава да спазва разпоредбите на този документ.

2.4 Ефективност на предложените мерки

Предложените мерки съдържат не само положителни аспекти, като премахване на основните проблеми в предприятието, свързани с информационната сигурност. Но в същото време те ще изискват допълнителни инвестиции в обучение на персонала и разработване на нормативни документи, свързани с политиката за сигурност. Това ще изисква допълнителни разходи за труд и няма да елиминира напълно рисковете. Винаги ще бъде така човешки фактор, форсмажорни обстоятелства. Но ако не се вземат такива мерки, разходите за възстановяване на информация ще бъдат по-големи от разходите за разработване на система за сигурност.

Нека разгледаме резултатите от предложените мерки:

1. Повишаване на надеждността на системата за информационна сигурност на организацията;

2. Повишаване на нивото на компютърни умения на персонала;

3. Намален риск от загуба на информация;

4. Наличие на нормативен документ, определящ политиката за сигурност.

5. Може би ще намали риска от въвеждане/премахване на информация от предприятието.

3 Модел на информационна сигурност

Представеният модел за информационна сигурност (Фигура 2) е набор от обективни външни и вътрешни фактори и тяхното влияние върху състоянието на информационната сигурност в обекта и върху безопасността на материалните или информационните ресурси.

Фигура 2 - Модел на системата за информационна сигурност

Този модел отговаря на специални регулаторни документи за информационна сигурност, приети в Руската федерация, международния стандарт ISO/IEC 15408 „Информационни технологии – методи за сигурност – критерии за оценка на информационната сигурност“, стандарта ISO/IEC 17799 „Управление на информационната сигурност“ и отчита вътрешните тенденции на развитие нормативна уредба(по-специално Държавната техническа комисия на Руската федерация) по въпросите на информационната сигурност.

Изводи и предложения

Информационната ера доведе до драматични промени в начина, по който голям брой професии изпълняват своите задължения. Сега нетехнически човек със средно ниво може да свърши работата, която преди е била извършвана от висококвалифициран програмист. Служителят има на разположение толкова точна и навременна информация, колкото никога досега не е имал.

Но използването на компютри и автоматизирани технологии създава редица проблеми за управлението на една организация. Компютрите, често свързани в мрежа, могат да предоставят достъп до огромни количества разнообразни данни. Поради това хората се притесняват за информационната сигурност и рисковете, свързани с автоматизацията и предоставянето на много повече по-голям достъпдо поверителни, лични или други чувствителни данни. Броят на компютърните престъпления се увеличава, което в крайна сметка може да доведе до икономически сътресения. И затова трябва да е ясно, че информацията е ресурс, който трябва да бъде защитен.

И тъй като автоматизацията доведе до факта, че компютърните операции вече се извършват от обикновени служители на организацията, а не от специално обучен технически персонал, е необходимо крайните потребители да са наясно с отговорността си за защита на информацията.

Няма нито една рецепта, която да дава 100% гаранция за безопасност на данните и надеждна работа на мрежата. Въпреки това, създаването на цялостна, добре обмислена концепция за сигурност, която взема предвид специфичните задачи на конкретна организация, ще помогне да се намали рискът от загуба на ценна информация до минимум. Компютърната защита е постоянна борба срещу глупостта на потребителите и интелигентността на хакерите.

В заключение бих искал да кажа, че защитата на информацията не се ограничава само до технически методи. Проблемът е много по-широк. Основният недостатък на защитата са хората и следователно надеждността на една система за сигурност зависи главно от отношението на служителите на компанията към нея. Освен това защитата трябва непрекъснато да се подобрява заедно с развитието на компютърната мрежа. Не забравяйте, че не системата за сигурност пречи на работата, а нейното отсъствие.

Бих искал също така, обобщавайки резултатите от този курсов проект, да отбележа, че след анализ на системата за информационна сигурност на предприятието Aries бяха идентифицирани пет недостатъка. След търсене бяха намерени решения за отстраняването им; тези недостатъци могат да бъдат коригирани, което ще подобри информационната сигурност на предприятието като цяло.

В хода на горните действия бяха развити практически и теоретични умения за изучаване на системата за информационна сигурност, следователно целта на курсовия проект беше постигната. Благодарение на намерените решения можем да кажем, че всички цели на проекта са изпълнени.

Библиография

1. ГОСТ 7.1-2003. Библиографски запис. Библиографско описание. Общи изискванияи правила за съставяне (Москва: Издателство на стандартите, 2004 г.).

2. Галатенко, В.А. "Основи на информационната сигурност." - М.: "Интуит", 2003 г.

3. Завгородний, В. И. „Комплексна защита на информацията в компютърни системи" - М.: “Логос”, 2001.

4. Зегжда, Д.П., Ивашко, А.М. „Основи на сигурността на информационните системи.“

5. Носов, В.А. Въвеждащ курс по дисциплината “Информационна сигурност”.

6. Федерален закон на Руската федерация от 27 юли 2006 г. N 149-FZ „За информацията, информационните технологии и защитата на информацията“

Публикувано на Allbest.ru

Подобни документи

Характеристика на информационните ресурси на земеделско стопанство Ашатли. Заплахи за информационната сигурност, специфични за предприятието. Мерки, методи и средства за защита на информацията. Анализ на недостатъците на съществуващата и предимствата на актуализираната система за сигурност.

курсова работа, добавена на 02/03/2011


Главна информацияза дейността на предприятието. Обекти на информационната сигурност в предприятието. Мерки и средства за защита на информацията. Копиране на данни на преносим носител. Инсталиране на вътрешен Backup сървър. Ефективност на подобряване на системата за информационна сигурност.

тест, добавен на 29.08.2013 г


Понятие, значение и направления на информационната сигурност. Систематичен подход за организиране на информационната сигурност, защита на информацията от неоторизиран достъп. Средства за информационна сигурност. Методи и системи за информационна сигурност.

резюме, добавено на 15.11.2011 г


Система за формиране на режим на информационна сигурност. Проблеми на информационната сигурност на обществото. Средства за защита на информацията: основни методи и системи. Защита на информацията в компютърни мрежи. Разпоредби на най-важните законодателни актове на Русия.

резюме, добавено на 20.01.2014 г


Анализ на риска за информационната сигурност. Оценка на съществуващи и планирани средства за защита. Набор от организационни мерки за осигуряване на информационна сигурност и защита на информацията на предприятието. Тестови пример за изпълнение на проекта и неговото описание.

дисертация, добавена на 19.12.2012 г


Стратегия за корпоративна информационна сигурност под формата на система от ефективни политики, които биха определили ефективен и достатъчен набор от изисквания за сигурност. Идентифициране на заплахи за информационната сигурност. Вътрешен контрол и управление на риска.

курсова работа, добавена на 14.06.2015 г


Характеристики на набор от задачи и обосновка на необходимостта от подобряване на системата за осигуряване на информационна сигурност и защита на информацията в предприятието. Разработване на проект за използване на СУБД, информационна сигурност и защита на личните данни.

дисертация, добавена на 17.11.2012 г


Нормативни документи в областта на информационната сигурност в Русия. Анализ на заплахите за информационните системи. Характеристики на организацията на системата за защита на личните данни на клиниката. Внедряване на система за удостоверяване чрез електронни ключове.

дисертация, добавена на 31.10.2016 г


Предпоставки за създаване на система за сигурност на личните данни. Заплахи за информационната сигурност. Източници на неоторизиран достъп до ISPD. Проектиране на информационни системи за лични данни. Средства за информационна сигурност. Политика за сигурност.

курсова работа, добавена на 07.10.2016 г


Цели, структура, физически, софтуерни и хардуерни мерки за защита на информационната система. Видове и причини за компютърни престъпления, начини за подобряване на политиката за сигурност на организацията. Предназначение и основни функции на папка "Дневник" в MS Outlook 97.

Най-уязвимата точка в системата за сигурност може да се нарече корпоративни служители и софтуер и хардуер. По-специално, данните на персоналните компютри не се архивират в случай на повреда на оборудването, някои важни данни могат да бъдат загубени; актуализацията не работи операционна система MS Windows XP и използвания софтуер, които могат да доведат до неоторизиран достъп до информация, съхранена на компютъра или нейното увреждане поради грешки в софтуера; Достъпът на служителите до интернет ресурси не се контролира, което може да доведе до изтичане на данни; бизнес имейл кореспонденцията се води през интернет чрез незащитени канали, съобщения електронна пощасъхранявани на сървъри пощенски услугив интернета; някои служители нямат достатъчно умения за работа автоматизирани системи, използвани в академията, което може да доведе до появяване на некоректни данни в системата; служителите имат достъп до персонални компютривашите колеги, което по невнимание може да доведе до загуба на данни; Всички членове на факултета имат достъп до архива, в резултат на което някои лични файлове могат да бъдат загубени или търсенето им да отнеме много време; Няма правила за безопасност.

Основната цел на системата за информационна сигурност е да осигури устойчиво функциониране на съоръжението, да предотврати заплахи за неговата сигурност, да защити легитимните интереси на предприятието от незаконни атаки, да предотврати разкриване, загуба, изтичане, изкривяване и унищожаване на частна информация и лична информация, осигуряваща нормална производствена дейност на всички звена на обекта.

Друга цел на системата за информационна сигурност е подобряване качеството на предоставяните услуги и гаранциите за сигурност.

Целите на формирането на система за информационна сигурност в една организация са: целостта на информацията, надеждността на информацията и нейната поверителност. При изпълнение на поставените задачи целта ще бъде реализирана.

Създаването на системи за информационна сигурност в ИС и ИТ се основава на следните принципи:

Систематичен подход за изграждане на система за сигурност, което означава оптимална комбинация от взаимосвързани организационни, софтуерни, хардуерни, физически и други свойства, потвърдени от практиката на създаване на вътрешни и чуждестранни системи за сигурност и използвани на всички етапи от технологичния цикъл на обработка на информация.

Принципът на непрекъснато развитие на системата. Този принцип, който е един от основните принципи за компютърните информационни системи, е още по-актуален за информационната сигурност. Методите за внедряване на информационни заплахи в ИТ непрекъснато се подобряват и следователно осигуряването на IP сигурност не може да бъде еднократен акт. Това е непрекъснат процес, състоящ се от обосноваване и прилагане на най-рационалните методи, методи и начини за подобряване на системата за информационна сигурност, непрекъснат мониторинг, идентифициране на нейните пречки и слабости, потенциални канали за изтичане на информация и нови методи за неоторизиран достъп.

Разделяне и минимизиране на правомощията за достъп до обработваната информация и процедурите за обработка, т.е. предоставяне както на потребителите, така и на самите служители на ИС на минимум строго определени правомощия, достатъчни за изпълнение на служебните им задължения.

Пълен контрол и регистриране на опити за неоторизиран достъп, т.е. необходимостта от точно установяване на самоличността на всеки потребител и записване на действията му за евентуално разследване, както и невъзможността да се извърши каквато и да е операция по обработка на информация в ИТ, без предварително да се регистрира.

Осигуряване на надеждността на защитната система, т.е. невъзможността за намаляване на нивото на надеждност в случай на повреди, повреди, умишлени действия на хакер или неволни грешки на потребителите и персонала по поддръжката в системата.

Осигуряване на контрол върху функционирането на системата за защита, т.е. създаване на средства и методи за наблюдение на работата на защитните механизми.

Предоставяне на всички видове инструменти за защита от зловреден софтуер.

Осигуряване на икономическа целесъобразност на използването на система за защита, изразяваща се в превишаване на възможните щети за ИС и ИТ от внедряването на заплахи над разходите за разработване и експлоатация на ШИС.

КУРСОВИ ПРОЕКТ

на тема: „Подобряване на системата за информационна сигурност в предприятието „UK Ashatli” LLC”

Въведение

Темата за разработване на политика за информационна сигурност в предприятия, фирми и организации е актуална в модерен свят. Информационната сигурност (на ниво предприятия и организации) е сигурността на информацията и поддържащата инфраструктура от случайни или умишлени въздействия от естествен или изкуствен характер, които могат да причинят неприемлива вреда на субектите на информационните отношения.

Предприятието разполага с модерна локална мрежа и инсталиран необходимия софтуер, има и достъп до Интернет. При наличието на такъв брой информационни ресурси е необходимо да има политика за информационна сигурност. В това предприятие е необходимо да се подобри политиката за информационна сигурност, за да се минимизират заплахите за информационната сигурност, което е целта на този курсов проект. Заплаха за информационната сигурност е реално или потенциално действие, насочено към нарушаване на информационната сигурност, водещо до материални и морални щети.

1. Анализ на информационната сигурност на LLC “MC “Ashatli”

1. Обща информация за организацията

Агрохолдинг "Ашатли" е динамично развиваща се, вертикално и хоризонтално интегрирана група от селскостопански компании, участник в проекта "Купете Перм!".

Земеделско стопанство Ашатли е създадено през 2007 г. и днес има следните направления на дейност: млечно животновъдство, млекопреработка, растениевъдство, отглеждане на зеленчуци, салати и билки в оранжерии, хидропонно цветарство, както и търговия на дребно със земя и месо.

Едно от предимствата да бъдеш динамично развиващ се холдинг е гъвкавият подход към спецификата на работата и желанията на клиентите. Специалистите на компанията са в състояние да извършват работа с почти всякакъв обем и сложност. Разнообразният трудов опит и професионализмът на нашите служители ни позволява да гарантираме изпълнението на всички задачи в рамките на договорения срок.

Местоположение на Ashatli Management Company LLC

614010, Русия, Пермска област, Перм, Комсомолски проспект, 70а

1.2 Характеристики на информационните ресурси на предприятието

Съгласно Федералния закон „За информацията, информационните технологии и защитата на информацията“ публично достъпната информация включва общоизвестна информация и друга информация, до която достъпът не е ограничен. Обществено достъпната информация може да се използва от всяко лице по тяхно усмотрение, при спазване на ограниченията, установени от федералните закони относно разпространението на такава информация.

В LLC “UK “Ashatli” публична информацияпредставени на уебсайта на компанията или могат да бъдат предоставени от мениджъри на кампании. Тази информация включва:

информация, съдържаща се в устава на организацията.

Финансови отчети;

Състав на управление и др.;

Информация за награди и търгове за кампании;

Информация за свободни работни места и информация за броя и състава на служителите, условията на труд и системата на заплащане;

Данни за контакт на мениджърите на кампанията;

Организацията разполага и с информация, чието използване и разпространение подлежи на ограничения от нейния собственик, т.е. организация. Такава информация се нарича защитена информация. Това може да включва информация, свързана с личния живот на служителите на организацията.

Следващият вид информация е информация, която представлява търговска тайна. Съгласно Федералния закон „За информацията, информационните технологии и защитата на информацията“, информацията, представляваща търговска тайна (търговска тайна), е информация от всякакъв характер (производствена, техническа, икономическа, организационна и други), включително резултатите от интелектуалната дейност в научната - техническа сфера, както и информация за методите на изпълнение професионална дейност, които имат действителна или потенциална търговска стойност поради неизвестността им на трети лица, до които трети лица нямат свободен достъп на законово основание, по отношение на които собственикът на тази информация е въвел режим търговска тайна(клауза 2 с измененията) Федерален законот 18 декември 2006 г. № 231-FZ)

Следната информация принадлежи към търговската тайна на LLC “UK “Ashatli”:

Информация за самоличността на работниците, домашни адреси.

Информация за клиенти, техните контактни и лични данни.

Информация за проекти, условия на договори.

Информационните ресурси на дружеството включват документи и актове на хартиен носител и локална компютърна мрежа.

1.3 Заплахи за информационната сигурност, специфични за това предприятие

Под заплаха за информационната сигурност се разбира възможността за нарушаване на основните качества или свойства на информацията - достъпност, цялостност и поверителност. Основният тип заплаха за информационната сигурност за дадена компания може да се счита за неоторизиран достъп до информация, свързана с търговска тайна.

Според методите за въздействие върху обектите на информационната сигурност заплахите, които са от значение за обществото, са обект на следната класификация: информационни, софтуерни, физически, организационни и правни.

Информационните заплахи включват:

неоторизиран достъп до информационни ресурси;

кражба на информация от архиви и бази данни;

незаконно събиране и използване на информация;

Софтуерните заплахи включват:

компютърни вируси и зловреден софтуер;

Физическите заплахи включват:

унищожаване или унищожаване на средства за обработка на информация и комуникация;

кражба на носители за съхранение;

въздействие върху персонала;

Организационните и правните заплахи включват:

закупуване на несъвършени или остарели информационни технологии и информационни средства;

Предприятието "UK "Ashatli" LLC може да бъде изложено на такива информационни заплахи като

Хакване на бази данни или неразрешено използване на търговска информация с цел прехвърляне на данни към конкуренти на предприятието, което може да повлияе негативно на дейността на предприятието и в краен случай да доведе до неговото разрушаване или ликвидация.

Разкриване на поверителна информация от служители, използването й за лична изгода за печалба, тъй като много служители имат достъп до базата данни 1C Trade Management.

Служителите на предприятието могат умишлено или случайно да повлияят на разпространението на информация, например чрез имейл,ICQи върху други дигитална медиякомуникации, които могат да повлияят негативно на репутацията на предприятието, тъй като имат достъп до информацията на организацията.

Една от най-често срещаните заплахи за информационната сигурност са неуспехите и неуспехите. софтуер, технически средствакомпании, тъй като дори най-новото оборудване често се поврежда, компанията може да бъде снабдена и с технически нискокачествено оборудване.

В MC Ashatli LLC може да възникне ситуация на неоторизиран физически достъп до технически средства, които са източници на информация, както и кражба на носител с важна информация (флашка, външен твърд диск и др.) или само данни. По същество това е кражба на интелектуална собственост чрез мрежа или физическа кражба на медии.

Един от многото важни информационни заплахиса грешките на персонала на организацията. Пропуски в работата на мениджърите, нечестно изпълнение на задълженията им от консултанти могат да доведат до нарушаване на целостта на информацията, а също така могат да възникнат конфликтни ситуации с клиенти.

Софтуерните заплахи включват различни зловреден софтуер, загуба на пароли, несигурност на използвания софтуер и липса на резервна система.

1.4 Мерки, методи и средства за защита на информацията, използвани в предприятието

Законодателното ниво на защита е набор от законодателни актове в областта на информацията и информационните технологии. Това ниво включва: Конституцията на Руската федерация, Гражданският кодекс на Руската федерация, Наказателният кодекс на Руската федерация, Федералният закон „За информацията, информационните технологии и защитата на информацията“ и др.

Административното ниво на защита на информацията се отразява в програмата за информационна сигурност. Основата на програмата е политиката за информационна сигурност - публикуван документ (набор от документи), който се приема от ръководството на организацията и е насочен към защита на информационните ресурси на тази организация. В тази организация не е разработена политика за информационна сигурност и това ниво на защита на информацията не е осигурено.

Мерките на процедурно ниво, използвани за защита на информацията в LLC Management Company Ashatli, включват факта, че достъпът до сградата се извършва само с предварително споразумение и в сградата е инсталирана алармена система. Също така sСключен е договор за охрана на помещения с частна охрана.

Нека разгледаме инструментите за информационна сигурност, използвани в предприятието. Те са общо четири (хардуерни, софтуерни, смесени, организационни).

Хардуерна сигурност – брави, решетки, аларми, мрежови филтри, Камери за видеонаблюдение.

Софтуерна защита: използват се инструменти на операционната система, като защита с парола, акаунти.

Организационни средства за защита: подготовка на помещения с компютри.

На софтуерно и хардуерно ниво се прилагат следните мерки за защита на информацията:

• Използване антивирусна програмана всички компютри (ESET NOD32 Business Edition NOD 32 Antivirus)

  С помощта на вграден Windows инструментиза упълномощаване на потребителя на компютъра.

  Използване на специални влизания/пароли за оторизация в базата данни 1C Trade Management.

2. Подобряване на системата за информационна сигурност

2.1 Слабости в системата за информационна сигурност

Някои от заплахите за информационната сигурност, като неоторизиран достъп отвън, неправилна работа на софтуер или технически повреди, се неутрализират доста успешно компетентна настройкаи мрежова администрация, но мерки за предотвратяване вътрешни заплахине съществува.

В процеса на анализ на съществуващата система за информационна сигурност в Ashatli Management Company LLC бяха идентифицирани следните недостатъци:

Не се използва пълноценно функционалност 1C. Правата за достъп до данните в базата данни не са напълно разграничени, а паролите не отговарят на изискванията за сложност или просто не се използват от някои служители.

Няма ограничения за форматите и размерите на данните, предавани през интернет (*.т.т3,*. avi,*. rar) за определени служители.

Някои служители съхраняват поверителна информация в публични папки просто поради собствената си небрежност, а също така съхраняват вход / парола за информационни системи, които изискват оторизация на лесно достъпни места на работния плот.

Информацията на хартия практически не е защитена, с изключение на най-важната. (Споразумения за заем, договори за анюитет, резултати от проверка и др.)

2.2 Цели и задачи на създаването на система за информационна сигурност в предприятието

Следователно можем да заключим, че има голяма нужда от подобряване на съществуващата система за информационна сигурност. Също така е необходимо внимателно да се защити клиентска базакампания, защото е много важна информация, който не подлежи на разкриване сред непознати.

Служителите на кампанията често не осъзнават, че скоростта на дейността на компанията и следователно нейната конкурентоспособност, а оттам и нивото на техните заплати, пряко зависи от правилната организация на целостта на базите данни и документи и поддържането им в подреден вид.

Най-голяма заплаха за функционалността на електронното счетоводство представляват различните вируси, които попадат в компютри в мрежа през Интернет, както и възможността за достъп до електронни справочници и документи от неоторизирани лица.

Цели за защита на информацията:

– предотвратяване на заплахи за сигурността на предприятието поради неразрешени действия на унищожаване, модифициране, изкривяване, копиране, блокиране на информация или други форми на незаконна намеса в информационни ресурси и информационни системи;

– съхраняване на търговски тайни, обработвани с помощта на компютърни технологии;

– защита на конституционните права на гражданите за опазване на личната тайна и поверителността на личните данни, налични в информационните системи.

Целите на формирането на система за информационна сигурност в една организация са: целостта на информацията, надеждността на информацията и нейната поверителност. При изпълнение на поставените задачи целта ще бъде реализирана.

2.3 Предложени мерки за подобряване на системата за информационна сигурност на законодателно, административно, процедурно и хардуерно и софтуерно ниво

За отстраняване на установените недостатъци в системата за информационна сигурност на LLC Management Company Ashatli се предлага да се въведат следните мерки:

На законодателно ниво не се предвиждат промени за въвеждане на нови мерки за гарантиране на информационната сигурност.

Необходимо е въвеждането на мерки на административно ниво в политиката за сигурност на компанията. На административно ниво се предлага:

Създайте поредица от инструкции за информационна сигурност в компанията за определени категории служители (промяна и съхраняване на пароли на недостъпни места, забрана на посещението на ресурси на трети страни и т.н.).

Осигурете редица мотивационни мерки за мотивиране на служителите да спазват политиката за сигурност, както и наказание за грубо нарушение на политиката за сигурност на компанията. (бонуси и глоби)

За подобряване на системата за сигурност на процесуално ниво се предлага следната поредица от мерки:

Ограничете достъпа на неоторизирани лица до определени отдели на компанията.

Провеждане на поредица от консултативни дейности със служители на организацията по въпросите на информационната сигурност и инструкции за спазване на политиката за сигурност.

На софтуерно и хардуерно ниво се предлага въвеждането на следните мерки:

Изисквайте всички служители да използват пароли за достъп до базата данни 1C и по-внимателно ограничавайте достъпа до определени данни от базата данни (директории, документи и отчети) за всички служители.

Необходимо е да смените всички стандартни потребителски имена и пароли за достъпADSL-Рутерът се нуждае от пароли, за да съответства на нивото на сложност.

Въведете ограничения върху файловите формати и размерите на файловете, предавани през интернет на отделни служители, като създадете филтри вESETNOD32 Бизнесиздание

По този начин ние взехме решение за промени в съществуващата система за информационна сигурност на управляващата компания Ashatli LLC. Сред тези промени ключова е работата с персонала, тъй като независимо какъв усъвършенстван софтуер за информационна сигурност се внедрява, въпреки това цялата работа с тях се извършва от персонала и основните повреди в системата за сигурност на организацията се причиняват като правило , от персонала. Правилно мотивираният персонал, фокусиран върху резултатите от работата, вече е половината от това, което е необходимо за ефективната работа на всяка система.

2.4 Ефективност на предложените мерки

Най-важното предимство на актуализираната система за сигурност в предприятието на LLC Management Company Ashatli са промените в нагласите на персонала. Повечето от проблемите в съществуващата система за сигурност бяха причинени от персонал.

Ползи от използванетоESET NOD32 Business Edition:

Разширяемо решение

• насочен към предприятия от 5 до 100 000 компютъра в една структура

  инсталира се както на сървър, така и на работни станции

Съвременни технологии

• проактивна защита срещу неизвестни заплахи

  прилагане на интелигентни технологии, комбиниращи евристични и сигнатурни методи за откриване

  обновяемо евристично ядро ​​ThreatSense

  редовен автоматична актуализациябази данни със сигнатури

Филтриране на имейл и уеб съдържание

• пълно сканиране на цялата входяща кореспонденция чрез протоколи POP3 и POP3s

  сканиране на входящи и изходящи имейли

  подробен отчет за открит зловреден софтуер

  пълна интеграция в популярни имейл клиенти: Microsoft Outlook, Outlook Express,Windows Mail, Windows Liveпоща, Mozilla Thunderbirdи The Bat!.Ограничаването на видовете и обемите на файловете, предавани и получавани чрез интернет от служителите, първо ще ограничи изтичането на всяка информация, важна за организацията, и второ, ще намали натоварването в интернет, тъй като каналите за предаване на данни няма да бъде зает с предаване на чужда информация.

  Централизирано управление

  Използване на разтвора ESET Remote Administrator Можете дистанционно да инсталирате и деинсталирате софтуерни продукти ESET , контролират работата на антивирусния софтуер, създават сървъри в мрежата за локални актуализации на продукта ESET („огледала“), които ви позволяват значително да намалите външния интернет трафик.

Удобни отчети

• ESET NOD 32 Бизнес издание автоматично генерира отчет за открити заразени обекти, изпратени в карантина, за динамиката на заплахи, събития, сканирания, задачи, можете да генерирате различни комбинирани отчети и др. Възможно е да се изпращат предупреждения и съобщения чрез протокол SMTP или чрез диспечера на съобщенията.

Висококачествена антивирусна програма и мрежова защитаще ви позволи да избегнете смущения в работата на компютъра, това е особено важно за работните места на мениджъри и консултанти. Подобни подобрения ще се отразят на надеждността на кампанията като бизнес партньор за много клиенти, което ще има благоприятен ефект върху имиджа на кампанията, както и върху нейните приходи. Автоматичното архивиране на информацията ще осигури нейната цялост и безопасност, а архивирането ще предостави тази възможност бързо възстановяванев необходимите ситуации.

3. Модел на информационна сигурност

Представеният модел за информационна сигурност е съвкупност от обективни външни и вътрешни фактори и тяхното влияние върху състоянието на информационната сигурност в обекта и върху безопасността на материалните или информационните ресурси. Като обекти се считат материално-технически средства, лични данни и документи.

ЗАЩИТЕН ОБЕМKTY