Файл: Технология «Клиент-сервер» (Теоретические аспекты защиты информации на предприятии).pdf

Безопасность, т.е. надежная защита информации от несанкционированного доступа.

Гибкость. В приложениях, работающих с данными, выделяют логических слои: пользовательский интерфейс; правила логической обработки; управление данными. Как уже было отмечено, в файл-серверной технологии все три слоя объединяются в одно монолитное приложение, функционирующее на рабочей станции, а все изменения в слоях обязательно приводят к модификации приложения, различаются версии клиента и сервера, и требуется проводить обновление версий на всех рабочих станциях.

Технология клиент-сервер в двухуровневом приложении предусматривает выполнение всех функций по формированию интерфейса пользователя на клиенте, а всех функций по управлению информацией баз данных - на сервере, бизнес-правила возможно реализовывать как на сервере, так и на клиенте.

Трехуровневое приложение допускает промежуточный уровень, который реализует бизнес-правила, являющиеся наиболее изменяемыми компонентами. Несколько уровней позволяют гибко и с наименьшими затратами адаптировать имеющееся приложение к постоянно модифицируемым требованиям бизнеса.

Несанкционированный доступ, а также возможность фальсификации и обмана в сетевой среде дают нарушителям потенциальную возможность получения доступа к сетевому оборудованию и сетевым службам. Архитектура ААА позволяет сильно ограничить возможности нарушителей, оставляя законным пользователям сети право иметь доступ к сетевым ресурсам.

Защита сетевого доступа — независимо от того, рассматривается она в применении к территориальной сети предприятия, удаленному доступу или Internet — имеет модульную архитектуру, состоящую из следующих трех компонентов:

Рисунок 3.1 – Функции ААА

Аутентификация. Требует от пользователей доказательства того, что они действительно являются теми, за кого себя выдают, например, посредством ввода имени пользователя и пароля, использования системы запросов/подтверждений, идентификационных карт или какого-то другого метода.

Рисунок 3.2 – Трехстороння модель Аутентификации

В общем виде схема аутентификации представлена в приложении 2-3.

Схема разделена на две части не случайно: в первой описывается основной путь прохождения от управляющих линий до методов аутентификации, во второй — сами способы аутентификации. 

Заключение

Информация - это сведения о лицах, фактах, предметах, явлениях, событиях и процессах. Особым образом защищают внутреннюю, конфиденциальную и секретную информацию. Информация о компании, служебная, коммерческая, промышленная, профессиональная, или другая информация – это первостепенные объекты защиты.

Объектом защиты являются автоматизированные системы (как собственной, так и сторонней разработки), входящие в состав информационной системы предприятия.

Информационная система предприятия представляет собой совокупность территориально разнесенных объектов, информационный обмен между которыми осуществляется посредством использования открытых каналов связи, предоставленных сторонними операторами электросвязи. Передача информации осуществляется в кодированном виде на основе протокола кодирования, проверки целостности и конфиденциальности информационных потоков HASH64. Кодирование входящих и исходящих информационных потоков осуществляется на магистральных маршрутизаторах.

Формирование структуры информационной системы ОАО «ОЛИМП» начинается с качественного анализа информационного поля предприятия.

Выделяют два основных информационных потока на предприятии ОАО «ОЛИМП»:

1. Информационный поток, обслуживающий движение материального потока.

2. Информационный поток, обслуживающий процесс управления.

На основании указанной информации выбираются стратегии развития предприятия, которые вместе с другими данными, такими как данные маркетингового анализа и прогноза состояния основных рынков сбыта продукции предприятия, являются базой для планирования деятельности предприятия.

Мы выяснили, что наибольшая разница между умышленными и случайными утечками наблюдается (помимо мобильных носителей, что обсуждалось выше) для электронной почты и бумажных документов. Умышленных краж конфиденциальной информации с использованием электронной почты не зафиксировано вообще. Респонденты предпочитали иные каналы: HTTP, флэшки, переносные диски, даже бумагу. Но только не электронную почту. Нетрудно догадаться. Легче переслать – легче и проконтролировать. Когда служба безопасности замышляет учинить перлюстрацию трафика предприятия, начинают, как правило, именно с электронной почты. Зачастую ей и заканчивают.

Несанкционированный доступ, а также возможность фальсификации и обмана в сетевой среде дают нарушителям потенциальную возможность получения доступа к сетевому оборудованию и сетевым службам. Архитектура ААА позволяет сильно ограничить возможности нарушителей, оставляя законным пользователям сети право иметь доступ к сетевым ресурсам.

В ходе исследования мы пришли к выводу, что внедрение защиты «ААА» позволит предприятию повысить эффективность прохождения информации, ее обработке, быстрому принятию решений, повышению производительности труда.

Список использованной литературы

1. Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»)
2. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденное Постановлением Правительства РФ от 17.11.2007 г. № 781.
3. «Порядок проведения классификации информационных систем персональных данных», утвержденный совместным Приказом ФСТЭК России № 55, ФСБ России № 86 и Мининформсвязи РФ № 20 от 13.02.2008 г.
4. «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденное Постановлением Правительства РФ от 15.09.2008 г. № 687.
5. «Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», утвержденные Постановлением Правительства РФ от 06.07.2008 г. № 512.
6. Нормативно-методические документы Федеральной службы по техническому и экспертному контролю Российской Федерации (далее - ФСТЭК России) по обеспечению безопасности ПДн при их обработке в ИСПДн:
7. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП)
8. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП)
9. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП)
10. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП)
11. Бессонов А. Б. Организационно-правовое обеспечение информационной безопасности организации // Науч.-техн. информ. - 2016.- N 9 .- С. 16-28
12. Быкова А. Тот, кто владеет информацией..., или Персонал как слабый элемент системы безопасности компании // Кадровик. - 2012. - N 5 .- С. 12-14
13. Гостев И. М. Защита традиционного документооборота нетрадиционными способами // Защита информации. Инсайд. – 2012. - N 3. - С. 22-27
14. Загородников С. Н. Организационное и правовое обеспечение информационной безопасности / / Информ. технологии. - 2016. - N 2. – С. 23-26.
15. Иванов В. П. К вопросу о создании основания теории защиты информации как внутренне совершенной и внешне оправданной научной теории// Защита информ. Инсайд. - 2016 .- N 5 .- С. 28-31
16. Ищейнов В. Я. Организация защиты коммерческой тайны на объектах информатизации // Делопроизводство. - 2012.- N 1 .- С. 49-54
17. Ключко Н. В. Закладываем фундамент информационной безопасности предприятия // Делопроизводство и документооборот на предприятии. – 2012. - N 5. - С. 44-55
18. Кондрашин М. Проблемы корпоративной информационной безопасности : взгляд // КомпьютерПресс. – 2016. - N 3. - С. 12-16
19. Максимович Г. Ю. Современные информационные технологии хранения информации и организация доступа к ней // Секретарское дело. – 2012. - N 1. - С. 30-36
20. Марков А. С. Разработка политики безопасности организации в свете новейшей нормативной базы // Защита информ. Конфидент. - 2016. - N 2. - С. 20-28
21. Петренко С. А. Лучшие практики создания корпоративных нормативных документов по безопасности // Защита информ. Инсайд. – 2012. - N 5. - С. 58-69
22. Служебные тайны Полишинеля // Там же. – 2015. - N 5. - С. 33-34
23. Степанов Е. А. Защита информации при работе с посетителями // Секретарское дело. - 2012. - N 1. - С. 28-32
24. Степанов Е. А. Работа секретаря с конфиденциальными документами // Справочник секретаря и офис-менеджера. - 2016. - N 5. - С. 32 - 38
25. Сукач А. Н. Организационные мероприятия по защите конфиденциальных документов // Отдел кадров. - 2012. - N 3. - С. 56-59
26. Теренин А. А. Как построить модель типового нарушителя информационной безопасности // Защита информ. Инсайд. - 2015. - N 5. - С. 18-24
27. Топилин Я. Н. Положение о разрешительной системе допуска к информационным ресурсам организации, содержащим персональные данные (работников, клиентов, граждан) // Там же. - 2015 .- N 1 .- С. 18-24
28. Храмцовская Н. А. Информационная безопасность и защищенный документооборот // Делопроизводство и документооборот на предприятии. – 2012. - N 4. - С. 6-18
29. Шубин А. С. Наша Тайна громко плачет.... // Защита информ. Инсайд. - 2016 .- N 1 .- С. 19-27