Файл: Технология «Клиент-сервер» (Теоретические аспекты защиты информации на предприятии).pdf
Добавлен: 03.07.2023
Просмотров: 105
Скачиваний: 3
СОДЕРЖАНИЕ
Глава 1.Теоретические аспекты защиты информации на предприятии
1.1. Предмет и объекты защиты информации на предприятии
1.2. Современные системы защиты информации на предприятии
Глава 2. Анализ систем защиты информации предприятия ОАО «Олимп»
2.1.Организационно-экономическая характеристика предприятия
2.2. Оценка информационных систем безопасности на предприятии
2.3 Угрозы и каналы утечки информации
Глава 3.Технлогия «клиент-сервер» на предприятии ОАО «Олимп»
Безопасность, т.е. надежная защита информации от несанкционированного доступа.
Гибкость. В приложениях, работающих с данными, выделяют логических слои: пользовательский интерфейс; правила логической обработки; управление данными. Как уже было отмечено, в файл-серверной технологии все три слоя объединяются в одно монолитное приложение, функционирующее на рабочей станции, а все изменения в слоях обязательно приводят к модификации приложения, различаются версии клиента и сервера, и требуется проводить обновление версий на всех рабочих станциях.
Технология клиент-сервер в двухуровневом приложении предусматривает выполнение всех функций по формированию интерфейса пользователя на клиенте, а всех функций по управлению информацией баз данных - на сервере, бизнес-правила возможно реализовывать как на сервере, так и на клиенте.
Трехуровневое приложение допускает промежуточный уровень, который реализует бизнес-правила, являющиеся наиболее изменяемыми компонентами. Несколько уровней позволяют гибко и с наименьшими затратами адаптировать имеющееся приложение к постоянно модифицируемым требованиям бизнеса.
Несанкционированный доступ, а также возможность фальсификации и обмана в сетевой среде дают нарушителям потенциальную возможность получения доступа к сетевому оборудованию и сетевым службам. Архитектура ААА позволяет сильно ограничить возможности нарушителей, оставляя законным пользователям сети право иметь доступ к сетевым ресурсам.
Защита сетевого доступа — независимо от того, рассматривается она в применении к территориальной сети предприятия, удаленному доступу или Internet — имеет модульную архитектуру, состоящую из следующих трех компонентов:
Рисунок 3.1 – Функции ААА
Аутентификация. Требует от пользователей доказательства того, что они действительно являются теми, за кого себя выдают, например, посредством ввода имени пользователя и пароля, использования системы запросов/подтверждений, идентификационных карт или какого-то другого метода.
Рисунок 3.2 – Трехстороння модель Аутентификации
В общем виде схема аутентификации представлена в приложении 2-3.
Схема разделена на две части не случайно: в первой описывается основной путь прохождения от управляющих линий до методов аутентификации, во второй — сами способы аутентификации.
Заключение
Информация - это сведения о лицах, фактах, предметах, явлениях, событиях и процессах. Особым образом защищают внутреннюю, конфиденциальную и секретную информацию. Информация о компании, служебная, коммерческая, промышленная, профессиональная, или другая информация – это первостепенные объекты защиты.
Объектом защиты являются автоматизированные системы (как собственной, так и сторонней разработки), входящие в состав информационной системы предприятия.
Информационная система предприятия представляет собой совокупность территориально разнесенных объектов, информационный обмен между которыми осуществляется посредством использования открытых каналов связи, предоставленных сторонними операторами электросвязи. Передача информации осуществляется в кодированном виде на основе протокола кодирования, проверки целостности и конфиденциальности информационных потоков HASH64. Кодирование входящих и исходящих информационных потоков осуществляется на магистральных маршрутизаторах.
Формирование структуры информационной системы ОАО «ОЛИМП» начинается с качественного анализа информационного поля предприятия.
Выделяют два основных информационных потока на предприятии ОАО «ОЛИМП»:
1. Информационный поток, обслуживающий движение материального потока.
2. Информационный поток, обслуживающий процесс управления.
На основании указанной информации выбираются стратегии развития предприятия, которые вместе с другими данными, такими как данные маркетингового анализа и прогноза состояния основных рынков сбыта продукции предприятия, являются базой для планирования деятельности предприятия.
Мы выяснили, что наибольшая разница между умышленными и случайными утечками наблюдается (помимо мобильных носителей, что обсуждалось выше) для электронной почты и бумажных документов. Умышленных краж конфиденциальной информации с использованием электронной почты не зафиксировано вообще. Респонденты предпочитали иные каналы: HTTP, флэшки, переносные диски, даже бумагу. Но только не электронную почту. Нетрудно догадаться. Легче переслать – легче и проконтролировать. Когда служба безопасности замышляет учинить перлюстрацию трафика предприятия, начинают, как правило, именно с электронной почты. Зачастую ей и заканчивают.
Несанкционированный доступ, а также возможность фальсификации и обмана в сетевой среде дают нарушителям потенциальную возможность получения доступа к сетевому оборудованию и сетевым службам. Архитектура ААА позволяет сильно ограничить возможности нарушителей, оставляя законным пользователям сети право иметь доступ к сетевым ресурсам.
В ходе исследования мы пришли к выводу, что внедрение защиты «ААА» позволит предприятию повысить эффективность прохождения информации, ее обработке, быстрому принятию решений, повышению производительности труда.
Список использованной литературы
- Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»)
- «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденное Постановлением Правительства РФ от 17.11.2007 г. № 781.
- «Порядок проведения классификации информационных систем персональных данных», утвержденный совместным Приказом ФСТЭК России № 55, ФСБ России № 86 и Мининформсвязи РФ № 20 от 13.02.2008 г.
- «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденное Постановлением Правительства РФ от 15.09.2008 г. № 687.
- «Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», утвержденные Постановлением Правительства РФ от 06.07.2008 г. № 512.
- Нормативно-методические документы Федеральной службы по техническому и экспертному контролю Российской Федерации (далее - ФСТЭК России) по обеспечению безопасности ПДн при их обработке в ИСПДн:
- Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП)
- Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП)
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП)
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. Зам. директора ФСТЭК России 15.02.08 г. (ДСП)
- Бессонов А. Б. Организационно-правовое обеспечение информационной безопасности организации // Науч.-техн. информ. - 2016.- N 9 .- С. 16-28
- Быкова А. Тот, кто владеет информацией..., или Персонал как слабый элемент системы безопасности компании // Кадровик. - 2012. - N 5 .- С. 12-14
- Гостев И. М. Защита традиционного документооборота нетрадиционными способами // Защита информации. Инсайд. – 2012. - N 3. - С. 22-27
- Загородников С. Н. Организационное и правовое обеспечение информационной безопасности / / Информ. технологии. - 2016. - N 2. – С. 23-26.
- Иванов В. П. К вопросу о создании основания теории защиты информации как внутренне совершенной и внешне оправданной научной теории// Защита информ. Инсайд. - 2016 .- N 5 .- С. 28-31
- Ищейнов В. Я. Организация защиты коммерческой тайны на объектах информатизации // Делопроизводство. - 2012.- N 1 .- С. 49-54
- Ключко Н. В. Закладываем фундамент информационной безопасности предприятия // Делопроизводство и документооборот на предприятии. – 2012. - N 5. - С. 44-55
- Кондрашин М. Проблемы корпоративной информационной безопасности : взгляд // КомпьютерПресс. – 2016. - N 3. - С. 12-16
- Максимович Г. Ю. Современные информационные технологии хранения информации и организация доступа к ней // Секретарское дело. – 2012. - N 1. - С. 30-36
- Марков А. С. Разработка политики безопасности организации в свете новейшей нормативной базы // Защита информ. Конфидент. - 2016. - N 2. - С. 20-28
- Петренко С. А. Лучшие практики создания корпоративных нормативных документов по безопасности // Защита информ. Инсайд. – 2012. - N 5. - С. 58-69
- Служебные тайны Полишинеля // Там же. – 2015. - N 5. - С. 33-34
- Степанов Е. А. Защита информации при работе с посетителями // Секретарское дело. - 2012. - N 1. - С. 28-32
- Степанов Е. А. Работа секретаря с конфиденциальными документами // Справочник секретаря и офис-менеджера. - 2016. - N 5. - С. 32 - 38
- Сукач А. Н. Организационные мероприятия по защите конфиденциальных документов // Отдел кадров. - 2012. - N 3. - С. 56-59
- Теренин А. А. Как построить модель типового нарушителя информационной безопасности // Защита информ. Инсайд. - 2015. - N 5. - С. 18-24
- Топилин Я. Н. Положение о разрешительной системе допуска к информационным ресурсам организации, содержащим персональные данные (работников, клиентов, граждан) // Там же. - 2015 .- N 1 .- С. 18-24
- Храмцовская Н. А. Информационная безопасность и защищенный документооборот // Делопроизводство и документооборот на предприятии. – 2012. - N 4. - С. 6-18
- Шубин А. С. Наша Тайна громко плачет.... // Защита информ. Инсайд. - 2016 .- N 1 .- С. 19-27