Файл: Назначение и структура системы защиты информации коммерческого предприятия (ООО «Санвэйс» ).pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 29.06.2023

Просмотров: 88

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

ВВЕДЕНИЕ

Современные компании все чаще сталкиваются с необходимостью обеспечить конфиденциальность данных, предотвратить утечку или несанкционированный доступ к информации. Значимость и популярность системы защиты информации постоянно возрастает в связи с развитием цифровых и телекоммуникационных технологий. В 2016 году все затраты в мире на информационную безопасность превысили 25 миллиардов долларов, и каждый год эта цифра растет на 7%[1]. В бизнесе, экономике, политике, вооруженных силах, силовых структурах и обществе компьютерная и информационная безопасность является критически важной областью знаний.

Любая деятельность в области предпринимательства является тесно связанной с приемом, накоплением, сохранением, обработкой и применением различных информационных потоков. Целостность существующего мироустройства как единого глобального сообщества обеспечивает, в основном, интенсивный информационный обмен. Остановка глобальных информационно-коммуникационных потоков даже на совсем короткий промежуток времени способна приводить к не меньшим кризисам, чем разрывы межгосударственных экономических связей. Поэтому, в новых рыночно-конкурентных условиях появляется большое количество новых проблем, которые связаны не только с обеспечением целостности и конфиденциальности коммерческих, финансовых или предпринимательских данных как видов интеллектуальной собственности, но также и физических и юридических лиц, их имущественной собственности и личной безопасности.

Актуальность темы курсовой работы обусловлена тем, что конфиденциальная информация является критически важным объектом любой организации, а ее утечка может привести к возникновению серьезных репутационных (когда сам факт утечки может повлиять на имидж компании), юридических (например, нарушение законодательства о персональных данных) и прямых финансовых рисков компании.

Целью работы является повышение эффективности работы коммерческого предприятия ООО «Санвэйс» посредством выбора решения по организации защиты информации от несанкционированного доступа в корпоративной сети фирмы.

Исходя из цели на рассмотрение поставлены следующие задачи:

  • рассмотреть теоретические аспекты системы защиты информации коммерческого предприятия;
  • спроектировать систему информационной безопасности коммерческого предприятия на примере коммерческого предприятия ООО «Санвэйс»;
  • провести оценку экономической эффективности.

Структура работы: курсовая работа состоит из введения, двух основных глав, заключения и списка литературы.

1. Теоретические аспекты системы защиты информации коммерческого предприятия

1.1. Назначение и задачи системы обеспечения информационной безопасности коммерческого предприятия

На сегодняшний день информация является самым ценным ресурсом для многих организаций и, в то же время, наиболее уязвимым. Изначально, информация - это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Важной проблемой компьютерной безопасности является защита информационных систем от несанкционированного доступа. Решения данной проблемы связаны с системным анализом, вопросами надежности, механизмами защиты и экономической эффективностью их внедрения в практику.

В соответствии с Федеральным законом «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ[2] информация может быть общедоступной или c ограниченным доступом. При этом законодательством Российской Федерации выделяются отдельные виды конфиденциальной информации (например, банковская и налоговая тайна, коммерческая тайна, персональные данные и еще ряд тайн).

Указом Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» от 06.03.1997 № 188[3] определены следующие виды сведений конфиденциального характера рис.1

Рисунок 1 - Виды информационных ресурсов по категориям доступа

Назначение системы информационной безопасности состоит в организации безопасных и надежных: мероприятий по доступу к информации, способов передачи и хранения информации, методов работы с информацией, правил управления доступом к информации, способов восстановления информации, методов резервирования информации.


Задача системы информационной безопасности обуславливается ее назначением и состоит в: обеспечении безопасного, надежного хранения и передачи информации в электронном виде, расположенной на различных носителях; организации надежного доступа к электронной информации; ограничении и контроле доступа к информации, с которой работают сотрудники; создании правил безопасной работы с информацией; проведении мероприятий по резервированию информации; обеспечении восстановления информации в аварийных ситуациях; поддержании информационной безопасности на заданном уровне[4] (рис. 2).

Рисунок 2 – Задачи информационной безопасности

1.2 Основные каналы утечки информации

Информация может быть утеряна вследствие причин различного вида. Основными каналами утечки информации являются[5]:

  • кража или потеря оборудования;
  • утечка информации на бумажных носителях;
  • утечка информации через сеть Интернет;
  • утечка информации через электронную почту;
  • утечка информации через съемные носители;
  • утечка информации с использованием мобильных устройств;
  • утечка информации через съемные носители;
  • утечка информации через интернет-мессенджеры.

Рассмотрим подробнее каждый из этих каналов.

Кража или утеря оборудования.

Кража и утеря оборудования являются одним из наиболее распространенных каналов утечки информации в банковской сфере. Когда речь идет о краже ноутбуков, потере мобильных устройств или носителей не всегда ясно, действительно потерян носитель, или его владелец заявил об этом, чтобы скрыть факт разглашения конфиденциальных данных. Пользователь, легитимно работая с информацией на корпоративном ноутбуке, обычно не ожидает негативных последствий, оставляя устройство в автомобиле. Кража ноутбука приведет к утечке данных. При этом пользователь может инсценировать кражу, передав важную информацию конкуренту. Это уже умышленная утечка. Должную защиту дает лишь обязательное шифрование всех конфиденциальных сведений, причем, не только на мобильных носителях, но и в местах стационарного хранения.

Утечка информации с использованием мобильных устройств.

Утечка информации с использованием мобильных устройств может быть осуществлена по следующим каналам:


  • нарушение конфиденциальности информации в результате кражи или утери устройства;
  • нарушение конфиденциальности информации в результате доступа посторонних лиц к устройству, оставленному без присмотра;
  • доступ к конфиденциальной информации внешних нарушителей посредством использования вредоносного программного кода;
  • хищение информации работником, имеющим легитимный доступ к информации и хранящий эту информацию на своем устройстве (путем отправки через личную почту, выкладывания в dropbox и проч.).

Утечка информации через внешние носители.

Несмотря на то, что в статистике этот канал утечки занимает довольно малый процент, он является один из самых существенных каналов утечки информации. В современном мире внешние носители находятся повсюду и в огромном количестве (мобильные телефоны, MP3-плееры, фотоаппараты, USB-накопители и многое другое). Этому каналу зачастую не уделяют достаточного внимания не опечатывая USB-порты на рабочих станциях, не ограничивая список допустимых к использованию внешних носителей или не ведя учет копируемых на внешние носители документов. Помимо утечки информации через USB-порты на рабочий ПК могут быть занесены вирусы или троянские программы.

Утечка информации через сеть Интернет.

Электронный документооборот, взаимодействие с филиалами и партнёрами, общение с клиентами и обработка запросов из вне. Через Интернет в банке проходит огромный поток информации, который крайне трудоёмко контролировать и обрабатывать без наличия соответствующего ПО. Таким образом, Интернет является еще одним каналом утечки информации, при помощи которого инсайдер может вывести информацию за пределы организации, загрузив её в облако, социальную сеть или любой другой ресурс в виде файла или текстовой информации.

Утечка информации через электронную почту.

Наряду с Интернетом ни одна организация не обходится без корпоративной электронной почты, и зачастую это почта имеет выход вовне, что даёт злоумышленникам возможность отправить конфиденциальную информацию за пределы организации в виде файла или текстовой информации.

Утечка информации через интернет-мессенджеры.

Так же как Интернет и электронная почта даёт возможность злоумышленнику отправить конфиденциальную информацию в виде файла или текста. Но в отличие от Интернета и электронной почты не имеет критичного значения для организации и зачастую оказываются запрещенными к использованию.


Утечка информации на бумажных носителях.

Данная категория сумела набрать существенную долю в общем объеме инцидентов. По определению бумажной утечкой является любая утечка, которая произошла в результате печати конфиденциальных сведений на бумажных носителях. Не смотря на большое распространение информационные технологий, электронных носителей информации и электронного документооборота, до сих пор активно используются и бумажные носители. Зачастую в организациях к ним относятся не серьёзно, бумажные документы не фиксируются, забываются на столах, не уничтожаются должным образом, что даёт возможность злоумышленнику заполучить их и вынести за пределы организации. Так же не контролируется и не фиксируется кто, когда и в каком количестве распечатывает тот или иной документ, тем более, что в крупных организациях ежеминутно печатаются огромное количество документов, что впоследствии затрудняет поиск виновного в подобного рода утечке. Основной способ борьбы с бумажными инцидентами заключается в контроле печатающейся информации — практика показывает, что в большинстве случаев достаточно хранить конфиденциальные сведения в электронном виде. Если же печать необходима — требуется обеспечить безопасность документов во время перевозки или пересылки.

В соответствии со СТО БР ИББС 1.0-2010: ущерб - утрата активов, повреждение (утрата свойств) активов и (или) инфраструктуры организации или другой вред активам и (или) инфраструктуре организации, наступивший в результате реализации угроз информационной безопасности через уязвимости.

Описание ущерба, наносимого организации в результате утечки конфиденциальной информации, основывается на его количественных и качественных показателях, которые базируются на одном из принципов засекречивания информации (отнесения ее к категории конфиденциальной) - принципе обоснованности. Он заключается в установлении (путем экспертных оценок) целесообразности засекречивания конкретных сведений (отнесения содержащейся в них информации к категории конфиденциальной), а также вероятных последствий этих действий, с учетом решаемых предприятием задач и поставленных целей.