Файл: рязанский колледж электроники пояснительная записка дипломного работы.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 22.11.2023
Просмотров: 168
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
1.3. Выбор и обоснование модели защиты объекта
1.4. Описание модели угроз информационной безопасности
РАЗДЕЛ 2. РАССМОТРЕНИЕ ТЕОРЕТИЧЕСКИХ АСПЕКТОВ ПРОБЛЕМЫ
2.1. Виды и сущность коммерческой тайны, ее место в системе информационной безопасности предприятия
2.2. Правовое регулирование защиты коммерческой тайны
2.3. Механизмы и способы защиты коммерческой тайны
2.4. Роль и функции режима коммерческой тайны в системе экономической безопасности предприятия
РАЗДЕЛ 3. ПОСТАНОВКА ПРАКТИЧЕСКОГО ЭКСПЕРИМЕНТА, ВЫПОЛНЕНИЕ ИССЛЕДОВАТЕЛЬСКОЙ РАБОТЫ
3.2. Ведение конфиденциального документооборота
3.3. Программные методы защиты информации
1.3. Выбор и обоснование модели защиты объекта
Одна из основных моделей защиты объекта для малого предприятия - это автоматизация процесса управления правами доступа. Эта модель предполагает установку на сетевые устройства специальных программ, которые помогают автоматизировать процесс управления правами доступа, а также контролируют и регистрируют изменения в доступе к данным.
Другая модель защиты - это использование методов шифрования данных. Шифрование данных - это процесс преобразования информации в специальный код, который можно прочитать только с помощью ключа. Этот метод может помочь защитить данные в случае компрометации сети или компьютера.
Также ООО «Спутник НПР», могут использовать модель ограничения доступа с помощью политик доступа к данным. Это включает в себя создание строгих правил доступа и ограничений на использование информации, в том числе установление паролей, логинов, параметров доступа и многое другое.
Модель защиты информационных систем, основанная на обучении сотрудников, также является важной. Этот подход к безопасности включает в себя регулярную обучение сотрудников, например, проведение тренингов по безопасности в сети, обучение использованию безопасных паролей и т.д.
Наконец, можно использовать модель, основанную на автоматическом обнаружении и устранении уязвимостей, также известную как система управления уязвимостями (Vulnerability Management). Этот метод основан на использовании программного обеспечения, которое автоматически обнаруживает уязвимости, а затем предоставляет рекомендации по их устранению, которые можно применить к системе безопасности.
Другой моделью защиты информационных систем ООО «Спутник НПР», может быть использование многоуровневой модели защиты, где защита организована на нескольких уровнях с различными методами защиты. Например, это может включать использование физических барьеров (например, замки на дверях серверной), межсетевых экранов (firewalls) для защиты от внешних атак, антивирусного и антишпионского ПО для защиты от вирусов и других вредоносных программ, контроля доступа на основе идентификации и аутентификации, а также резервного копирования данных и мониторинга событий системы.
Еще одна модель защиты информационных систем ООО «Спутник НПР» - это использование облачных решений по безопасности. Облачные решения - это программные и аппаратные компоненты, которые предоставляются через интернет облачными провайдерами. Они могут включать в себя различные инструменты защиты, такие как межсетевые экраны, антивирусное и антишпионское ПО, системы аутентификации и управления доступом, системы мониторинга событий и многое другое.
Другие важные аспекты безопасности информационных систем ООО «Спутник НПР» включают:
1. Системное обновление: регулярное обновление операционной системы, приложений и другого программного обеспечения. Это поможет исправить уязвимости и своевременно получать последние патчи безопасности.
2. Составление политики безопасности: разработка плана действий на случай различных сценариев угроз безопасности, а также определение уровней доступа для сотрудников.
3. Резервное копирование: регулярное резервное копирование информации на внешние носители или в облачное хранилище, чтобы в случае катастрофы или утери данных можно было быстро восстановить работоспособность системы.
4. Обучение сотрудников: регулярное проведение тренингов и семинаров о методах защиты и соблюдении правил безопасности.
5. Многопользовательские системы: создание пользовательских аккаунтов для сотрудников с соответствующими правами доступа.
Наконец, следует отметить, что защита информационных систем - это непрерывный процесс. ООО «Спутник НПР» нуждаются в постоянном мониторинге, анализе новых угроз и улучшении механизмов защиты, чтобы убедиться в сохранности своей инфраструктуры и данных.
1.4. Описание модели угроз информационной безопасности
Модели угроз информационной безопасности для ООО «Спутник НПР» по созданию, обслуживанию и технической поддержке информационных систем могут быть различными, но следующие являются наиболее распространенными:
1. Атаки на инфраструктуру: злоумышленники могут направлять атаки на сервера и сетевые устройства, чтобы получить несанкционированный доступ к данным и нарушить работоспособность системы. Это может быть сделано путем использования уязвимостей в программном обеспечении, несанкционированного доступа к серверу и другими методами.
2. Атаки на приложения: злоумышленники могут направлять атаки на веб-приложения, чтобы получить доступ к данных пользователей и нарушить работу системы. Это может быть сделано путем использования уязвимостей в приложениях, например, через SQL-инъекции или вредоносный код.
3. Фишинг: злоумышленники могут направлять фишинговые атаки на сотрудников предприятия, чтобы получить доступ к данным. Фишинг может включать в себя отправку электронных писем, притворяющихся от имени легитимной организации, с просьбой предоставить доступ к личным данным или вредоносными вложениями.
4. Вредоносные программы: злоумышленники могут использовать вредоносные программы, такие как вирусы, черви, трояны, чтобы обходить средства защиты системы и получить доступ к данным и нарушить работоспособность системы.
5. Ошибки пользователя: человеческие ошибки могут нанести вред информационной безопасности. Например, сотрудник может случайно раскрыть логин и пароль или открыть вредоносный файл. Ошибки пользователя могут быть уменьшены с помощью обучения и создания политик безопасности.
6. Угрозы от внутреннего персонала: даже сотрудники могут представлять угрозу для безопасности информации, особенно если они имеют необходимый доступ к данным. Нарушение политики безопасности, установка нелицензионного программного обеспечения, кража данных - это только некоторые из примеров, которые могут нарушить конфиденциальность и интегритет данных на предприятии.
7. Нарушения безопасности при обработке данных: ООО «Спутник НПР» могут столкнуться с угрозами безопасности данных при обработке и хранении конфиденциальной информации. Это может быть вызвано нарушением политик защиты данных, утечкой данных, низкими стандартами безопасности данных, ошибками в процедурах обработки данных и т.д.
8. Социальная инженерия: злоумышленники могут использовать социальную инженерию, чтобы получить доступ к конфиденциальной информации, взломать систему и нарушить работоспособность системы. Это может быть сделано путем манипулирования людьми, чтобы они выдали конфиденциальные данные, пароли и другую информацию.
9. Угрозы физической безопасности: ООО «Спутник НПР» могут столкнуться с угрозами физической безопасности, такими как угоны устройств, повреждение оборудования, случайные или злонамеренные повреждения среды, в которой хранится оборудование и т.д.
10. Утечки информации: ООО «Спутник НПР» могут столкнуться с утечками информации, когда чувствительные данные попадают в неправильные руки, например, из-за утечки личных данных пользователя, компрометации учетных записей или нарушения конфиденциальности.
11. Несанкционированный доступ: ООО «Спутник НПР» могут столкнуться с угрозой несанкционированного доступа к своим системам и данным. Это может быть вызвано недостаточной авторизацией и аутентификацией, уязвимостями в системах управления сеансами и другими методами.
12. Отказ в обслуживании: злоумышленники могут осуществлять DDoS-атаки, чтобы перегрузить сайт или системы ООО «Спутник НПР» и привести к их отказу в работе. Эта угроза может быть уменьшена путем настройки устройств защиты от DDoS-атак и настройки правил доступа.
13. Случайные сбои: ООО «Спутник НПР» могут столкнуться с непредвиденными сбоями в работе систем. Это может произойти из-за неисправностей в оборудовании, ошибок в программном обеспечении или неправильной настройки системы.
14. Кража учетных записей и паролей: угроза заключается в том, что злоумышленники могут получить доступ к учетным записям и паролям через утечки данных, фишинг, установку вредоносного ПО и другие методы.
15. Нарушение законов и нормативов: ООО «Спутник НПР» могут нарушить законодательство, относящиеся к конфиденциальности и безопасности данных. Нарушение таких законов может привести к штрафам и потере доверия со стороны клиентов и партнеров.
Преодоление этих угроз может потребовать использования различных методов безопасности, включая, например, регулярное обновление ПО, установку антивирусных программ, настройку правил доступа и политик безопасности, обучение сотрудников в области безопасности, регулярное резервное копирование данных и создание плана восстановления при происшествии.
Таблица 2 – Модель угроз информационной безопасности
| Тип угроз безопасности | Опасность угрозы |
| 1 | 2 |
| Атаки на инфраструктуру | Высокая |
| Атаки на приложения | Средняя |
| Фишинг | Средняя |
Продолжение таблицы 2
| 1 | 2 |
| Вредоносные программы | Средняя |
| Ошибки пользователя | Средняя |
| Угрозы от внутреннего персонала | Высокая |
| Нарушения безопасности при обработке данных | Средняя |
| Социальная инженерия | Средняя |
| Угрозы физической безопасности | Низкая |
| Утечки информации | Средняя |
| Несанкционированный доступ | Низкая |
| Отказ в обслуживании | Средняя |
| Случайные сбои | Низкая |
| Кража учетных записей и паролей | Средняя |
| Нарушение законов и нормативов | Низкая |