Добавлен: 08.11.2023
Просмотров: 56
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
Комплексное обеспечение информационной безопасности заключается в сочетании:
- конфиденциальности: предоставлении доступа к информации только авторизованным сотрудникам;
- целостности: защиты от модификации или подмены информации;
1.3. Угрозы безопасности баз данных
использование режимов распределенной обработки данных;
участие в процессе автоматизированной обработки информации большого количества пользователей и персонала различных категорий;
непосредственный и одновременный доступ к ресурсам (в том числе и информационным) большого числа пользователей (субъектов) различных категорий;
высокая степень разнородности используемых средств вычислительной техники и связи, а также их программного обеспечения;
отсутствие специальной аппаратной поддержки средств защиты в большинстве типов технических средств, широко используемых в автоматизированных системах.
1.4 Уязвимость основных структурно-функциональных элементов
Рабочие станции являются наиболее доступными компонентами сетей и именно с них могут быть предприняты наиболее многочисленные попытки совершения несанкционированных действий. С рабочих станций осуществляется управление процессами обработки информации, запуск программ, ввод и корректировка данных, на дисках рабочих станций могут размещаться важные данные и программы обработки. На мониторы и печатающие устройства рабочих станций выводится информация при работе пользователей (операторов), выполняющих различные функции и имеющих разные полномочия по доступу к данным и другим ресурсам системы. Именно поэтому рабочие станции должны быть надежно защищены от доступа посторонних лиц и содержать средства разграничения доступа к ресурсам со стороны законных пользователей, имеющих разные полномочия. Кроме того, средства защиты должны предотвращать нарушения нормальной настройки рабочих станций и режимов их функционирования, вызванные неумышленным вмешательством неопытных (невнимательных) пользователей.
Каналы и средства связи также нуждаются в защите. В силу большой пространственной протяженности линий связи (через неконтролируемую или слабо контролируемую территорию) практически всегда существует возможность подключения к ним, либо вмешательства в процесс передачи данных. Возможные при этом угрозы подробно изложены в главе 2.3.
1.5 Основные цели защиты информации на предприятии
Формулирование целей и задач защиты информации, как любой другой деятельности, представляет начальный и значимый этап обеспечения безопасности информации. Важность этого этапа часто недооценивается и ограничивается целями и задачами, напоминающими лозунги. В то же время специалисты в области системного анализа считают, что от четкости и конкретности целей и постановок задач во многом зависит успех в их достижении и решении. Провал многих, в принципе полезных, начинаний обусловлен именно неопределенностью и расплывчатостью целей и задач, из которых не ясно, кто, что и за счет какого ресурса предполагает решать продекларированные задачи.
Цели защиты информации сформулированы в ст. 20 Закона РФ «Об информации, информатизации и защите информации»:
- предотвращение утечки, хищения, искажения, подделки информации;
- предотвращение угроз безопасности личности, общества, государства;
- предотвращение несанкционированных действий по уничтожению, модификации, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима как объекта собственности;
- защита конституционных прав граждан по сохранению личной тайны, конфиденциальности персональных данных, имеющихся в информационных системах;
- сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
- обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения.
В общем виде цель защиты информации определяется как обеспечение безопасности информации, содержащей государственную или иные тайны. Но такая постановка цели содержит неопределенные понятия: информация и безопасность.
Основной целью защиты информации является обеспечение заданного уровня ее безопасности. Под заданным уровнем безопасности информации понимается такое состояние защищенности информации от угроз, при которых обеспечивается допустимый риск ее уничтожения, изменения и хищения. При этом под уничтожением информации понимается не только ее физическое уничтожение, но и стойкое блокирование санкционированного доступа к ней. В общем случае при блокировке информации в результате неисправности замка или утери ключа сейфа, забытия пароля компьютера, искажения кода загрузочного сектора винчестера или дискетки и других факторах информация не искажается и не похищается и при определенных усилиях доступ к ней может быть восстановлен. Следовательно, блокирование информации прямой угрозы ее безопасности не создает. Однако при невозможности доступа к ней в нужный момент ее пользователь теряет информацию так же, как если бы она была уничтожена.
1.6 Состав и назначение аппаратных и программных средств
@!#!@#!@#!# создана с учетом единых концептуальных положений, лежащих в основе построения современных вычислительных сетей связи. Основу таких положений в первую очередь составляет использование общих принципов построения и однородного активного сетевого оборудования.
Сетевая структура ЛВС компании содержит несколько выраженных иерархических уровней. ЛВС бухгалтерии представляет фрагмент корпоративной сети, данный фрагмент сети состоит из нескольких сегментов, подключенных к магистрали более высокого уровня и осуществляющих доступ информационным ресурсам сети. ЛВС построена на базе стандарта Ethernet 10/100 Base-T.
Стандарт Ethernet 10/100 Base-T подходит для работы с различными операционными системами и сетевым оборудованием. Применение этого стандарта позволяет простыми методами добиться стабильной работы сети.
Для построения сети необходимо выбрать кабель, от качества и характеристик которого во многом зависит качество работы сети. В данном случае использована неэкранированная витая пара категории 5.
Конфигурация сети представлена в таблице 1.
Таблица 1
Компонент/характеристика | Реализация |
Топология | Звезда |
Линия связи | Неэкранированная витая пара категории 5 |
Сетевые адаптеры | Ethernet 10/100 Base-T |
Коммуникационное оборудование | Коммутатор Ethernet 10/100 Base-T |
Совместное использование периферийных устройств | Подключение сетевых принтеров через компьютеры к сетевому кабелю. Управление очередями к принтерам осуществляется с помощью программного обеспечения компьютеров. |
Поддерживаемые приложения | Организация коллективной работы в среде электронного документооборота, работа с базой данных. |
При выборе сетевых компонентов необходимо придерживаться следующих общих требований:
· компьютеры должны обладать хорошим быстродействием, чтобы обеспечить работу всех сетевых служб и приложений в реальном времени без заметного замедления работы;
· жесткие диски компьютеров должны быть максимально надежными для того, чтобы обеспечить безопасность и целостность хранимых данных;
· сетевые принтеры должны устанавливаться в зависимости от местоположения пользователей, активно их использующих;
· коммутатор, являющийся центральным устройством данной сети, необходимо располагать в легкодоступном месте, чтобы можно было без проблем подключать кабели и следить за индикацией.
Перечисленные требования определили следующую конфигурацию сетевых компонентов: все компьютеры сети на базе процессора IntelPentium 4, в качестве сетевого принтера выбрано многофункциональное устройство (лазерное), поскольку они имеют наибольший ресурс и малые затраты на расходные материалы.
1.7 информации, составляющей коммерческую тайну
Коммерческая тайна − форма обеспечения безопасности наиболее важной коммерческой информации, предлагающая ограничение ее распространения. С правовой точки зрения, коммерческая тайна предприятия представляет собой средство защиты против недобросовестной конкуренции в рамках реализации права на интеллектуальную собственность.
Перечень сведений, составляющих коммерческую тайну предприятия:
1. Производство
1.1. Сведения о структуре производства, производственных мощностях, типе и размещении оборудования, запасах сырья, материалов, комплектующих и готовой продукции.
2. Управление
2.1. Сведения о применяемых оригинальных методах управления предприятием.
2.2. Сведения о подготовке, принятии и исполнении отдельных решений руководства предприятия по коммерческим, организационным, производственным, научно-техническим и иным вопросам.
3. Планы
3.1. Сведения о планах расширения или свертывания производства различных видов продукции и их технико-экономических обоснованиях. 3.2. Сведения о планах инвестиций, закупок, продаж. 4. Совещания
4.1. Сведения о фактах проведения, целях, предмете и результатах совещаний и заседаний органов управления предприятия. 5. Финансы
5.1. Сведения о балансах предприятия.
5.2. Сведения, содержащиеся в бухгалтерских книгах предприятия. 5.3. Сведения о кругообороте средств предприятия.
5.4. Сведения о финансовых операциях предприятия.
5.5. Сведения о состоянии банковских счетов предприятия и производимых операциях.
5.6. Сведения об уровне доходов предприятия.
5.7. Сведения о долговых обязательствах предприятия.
5.8. Сведения о состоянии кредита предприятия (пассивы и активы). 6. Рынок
6.1. Сведения о применяемых предприятием оригинальных методах изучения рынка.
6.2. Сведения о результатах изучения рынка, содержащие оценку состояния и перспектив развития рыночной конъюнктуры.
6.3. Сведения о рыночной стратегии предприятия.
6.4. Сведения о применяемых предприятием оригинальных методах осуществления продаж.
6.5. Сведения об эффективности коммерческой деятельности предприятия. 7. Партнеры
7.1. Систематизированные сведения о внутренних и зарубежных заказчиках, подрядчиках, поставщиках, потребителях, покупателях, компаньонах, спонсорах, посредниках, клиентах и других партнерах деловых отношений предприятия, а также о его конкурентах, которые не содержатся в открытых источниках (справочниках, каталогах и др.).
8. Переговоры
8.1. Сведения о подготовке и результатах проведения переговоров с деловыми партнерами предприятия.
9. Контракты
9.1. Сведения, условия конфиденциальности которых установлены в договорах, контрактах, соглашениях и других обязательствах предприятия. 10. Цены
10.1. Сведения о методах расчета, структуре, уровне цен на продукцию и размерах скидок.
11. Торги, аукционы
11.1. Сведения о подготовке к торгам или аукциону и их результатах. 12. Наука и техника
12.1. Сведения о целях, задачах, программах перспективных научных исследований.
12.2. Ключевые идеи НИР.
12.3. Точные значения конструкционных характеристик создаваемых изделий и оптимальных параметров разрабатываемых технологических процессов (размеры, объемы, конфигурация, процентное содержание компонентов, температура, давление, время и т.д.).
12.4. Аналитические и графические зависимости, отражающие найденные закономерности и взаимосвязи.
12.5. Данные об условиях экспериментов и оборудования, на котором они проводились.