Файл: Назначение и структура системы защиты информации коммерческого предприятия.pdf
Добавлен: 25.04.2023
Просмотров: 218
Скачиваний: 2
СОДЕРЖАНИЕ
1. Теоретические основы защиты информации в коммерческих предприятиях
1.1. Основные понятия по защите информации
1.2. Методы и средства защиты информации
2. Система защиты информации коммерческого предприятия на примере ООО «Экопрог»
2.1. Характеристика предприятия
2.2. Система защиты информации на предприятии
Введение
Обеспечение информационной безопасности – одна из важнейших задач любого предприятия, работающего с информацией, разглашение которой может повредить его деятельности. Примечательным в данной работе является то, что каждый человек понимает необходимость защиты информации, но на практике лишь малая доля из них действительно представляет себе возможные последствия и методы их предотвращения. В сознании большинства людей представление об информационной угрозе складывается в основном из художественных фильмов и телесериалов о «хакерах». На практике же работа по обеспечению информационной безопасности должна учитывать множество факторов, связанных с каждым конкретным защищаемым объектом.
С каждым годом скорость появления новых научных открытий неуклонно растет, особенно в сфере информационных технологий. Появляются новые технологии обработки информации, ее хранения, передачи, благодаря чему растут и вычислительные мощности, которые можно направить на преодоление даже самых сложных систем защиты. Развитие физики волн, увеличение чувствительности оборудования, фиксирующего электромагнитные волны, радиоволны порождает все более изощренные методы получения информации, даже не получая непосредственного доступа к компьютеру жертвы.
В российском обществе, где еще со времен начала 90-х практика использования противоправных средств при ведении бизнеса стала скорее нормой, чем отклонением от нее, угроза информационной безопасности стоит особо актуально. Поэтому администратору необходимо постоянно следить за появлением новых методов в области взлома, прослушивания каналов связи и защитного программного обеспечения.
Объектом исследования данной работы является система защиты информации ООО «Экопрог», предметом – методы защиты информации.
Цель работы – разработка мероприятий по защите от угроз информационной безопасности.
Для достижения поставленной цели необходимо выполнить ряд задач:
- дать характеристику предприятия;
- провести анализ угроз информационной безопасности;
- разработать меры обеспечения информационной безопасности предприятия.
В процессе работы была применена совокупность методов экономико-статистического анализа, методы синтеза и анализа экономической информации.
1. Теоретические основы защиты информации в коммерческих предприятиях
1.1. Основные понятия по защите информации
Информация – сведения (сообщения, данные) независимо от формы их представления. Информация может быть представлена как на материальном носителе в виде символов, знаков, рисунков с возможностью ее визуального просмотра (документированная информация), так и в электронном виде с возможностью ее просмотра только с использованием программно-технических средств. Отнесение информации к государственной тайне осуществляется в соответствии с Законом Российской Федерации «О государственной тайне».
Защита информации от несанкционированного доступа – деятельность (работа) должностных лиц, направленная на создание и поддержание условий, установленных требованиями нормативных документов, исключающих НСД к защищаемой (подлежащей защите) информации. Под защищаемой информацией понимаются информационные ресурсы и программное обеспечение, подлежащие защите.
Защите подлежит информация любого вида, доступ к которой ограничивается. Ограничение доступа к информации устанавливается федеральными законами и нормативными актами для защиты основ конституционного строя, здоровья, нравственности, прав и законных интересов других лиц [15, с.102].
Система обеспечения информационной безопасности (СОИБ) – комплексное решение, позволяющее определять актуальные угрозы и уязвимость информационной безопасности (ИБ) и надлежащим образом организовывать защиту.
СОИБ решает следующие задачи:
- защита информационных активов и информационно-телекоммуникационной инфраструктуры организации;
- защита от несанкционированного доступа;
- аудит ИБ;
- защита от воздействия вредоносного кода;
- сетевая безопасность;
- защита на уровне операционных систем;
- криптографическая защита;
- защита на уровне баз данных;
- защита на уровне приложений;
- защита виртуальных платформ.
Утечка защищаемой информации – ее неконтролируемое разглашение, несанкционированный доступ к ней, получение защищаемой информации разведками [12, с.89].
Хищение информации – несанкционированный доступ к информации, повлекший ознакомление с ней недопущенных субъектов. При этом возможно как полное хищение, когда похищаемая информация на машинном носителе информации полностью уничтожается, так и хищение, при котором производится только копирование защищаемой информации.
Несанкционированный доступ к информации – доступ к информации, нарушающий установленные (принятые) нормативными правовыми актами требования (правила, порядок) разграничения доступа с использованием штатных средств (механизмов, методов, способов, возможностей), предоставляемых средствами ВТ.
1.2. Методы и средства защиты информации
Под средством защиты информации будем понимать техническое, криптографическое, программное или другое средство, предназначенное для защиты информации, средства в которых они реализованы, а также средства контроля эффективности защиты информации.
Мероприятие по защите информации – совокупность действий по разработке и практическому применению мер и средств защиты информации. Общая классификация мер и средств защиты информации представлена на рис.1.
Рисунок 1 – Общая классификация мер и средств защиты информации [18, с.56]
Организационная защита – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Благодаря организационной защите [28, с.87]:
- обеспечивается организация охраны, режима, работа с документами, с кадрами;
- используются технические средства безопасности и информационно-аналитическая деятельность с целью выявления внешних и внутренних угроз коммерческой деятельности.
Организационные меры защиты должны быть прописаны в документах, определяющих порядок обеспечения информационной безопасности в компании. Основным таким документом является политика информационной безопасности.
Под инженерно-технической защитой понимается совокупность технических средств, специальных органов и мероприятий по использованию технических средства с целью защиты конфиденциальной информации.
Выделяются следующие группы средств инженерно-технической защиты по функциональному назначению [31, с.29]:
Физические средства;
Аппаратные средства;
Программные средства;
Криптографические средства.
Физические средства включают различные сооружения и средства, которые препятствуют физическому доступу (или проникновению) нарушителей на объекты защиты и к материальным носителям конфиденциальной информации и осуществляют защиту материальных средств, персонала, информации и финансов от противоправных воздействий. Физическими средствами являются механические, электронно-оптические, электромеханические электронные, радио- и радиотехнические и другие устройства для запрета несанкционированного доступа, проноса (выноса) материалов и средств и других возможных видов преступных действий.
Меры контроля физического доступа к элементам ИС сводятся к применению средств и систем контроля физического доступа, которые создают препятствия для нарушителей на путях к защищаемым данным, например, на территорию, на которой располагаются объекты информатизации, в помещения с аппаратурой, носителями данных и т.п., и обеспечивают контроль доступа.
Система обнаружения вторжений (СОВ) – программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Internet. Соответствующий английский термин – Intrusion Detection System (IDS) [14, с.59].
Общая классификация СОВ представлена на рис.2.
Рисунок 2 – Классификация систем обнаружения вторжений
Программные средства охватывают специальные программные комплексы, программы и системы защиты информации в ИС различного назначения и средствах обработки (накопления, сбора, хранения, передачи и обработки) данных.
Методы и средства защиты информации необходимо выбирать, в зависимости от структуры организации, защищаемых объектов. Чем больше организация, чем больше в ней сотрудников, тем больше рисков для ее информационных активов. В крупной организации требуется система комплексной защиты информации: инженерно-технические средства (видекамеры, турникеты, пропуска и т.д.), программно-аппаратные средства, включающие систему обнаружения вторжений, межсетевое экранирование и т.д. Обязательно применение организационных мер защиты, к ним относится разработка политики информационной безопасности, различные положения (об использовании Интернет, о коммерческой тайне и т.д.). В небольшой организации достаточно использование антивирусного ПО, видеокамер, политики безопасности.
Методы и средства защиты выбираются так же в зависимости от того, какой объект выбран для защиты. Если это материальный актив – товар, компьютер, оргтехника, - то выбираются инженерно-технические средства защиты. Если для защиты выбрана информация на компьютерах или сервере, то здесь требуется уже больше средств, как инженерно-технических, так и программных. Если защищается целое помещение, например, кабинет руководителя или переговорная комната, то используются средства защиты от жучков и других средств съема информации.
Отдельно стоит рассмотреть такой объект защиты, как сайт организации, так как сайты сейчас есть практически у всех компаний. В настоящее время очень много сетевых угроз, так как почти все пользуются интернет-банкингом. Для защиты от них используются межсетевые экраны, виртуальные частные сети, системы обнаружения вторжений и т.д.
Выбор методов и средств защиты будет рассмотрен далее, на примере конкретной организации.
2. Система защиты информации коммерческого предприятия на примере ООО «Экопрог»
2.1. Характеристика предприятия
Компания «ЭкоПрог» создана в 1990 году и является одной из ведущих российских инжиниринговых компаний. Инжиниринговая компания «ЭкоПрог» реализует весь комплекс работ по проектированию и строительству инженерной и информационной инфраструктуры для строящихся объектов недвижимости, а также работы по модернизации инженерной инфраструктуры существующих объектов.
Многолетний опыт работы в области информационных технологий, телекоммуникаций, систем безопасности, разработка и использование инновационных технологий и методов оптимизации инженерных и информационных систем, позволяют создавать эффективные решения в области инжиниринга, актуальные в современных условиях.
Предлагая комплексный подход к созданию инженерных систем, «ЭкоПрог» выполняет все составляющие процесса создания и реализации проектов инженерной инфраструктуры на высоком качественном уровне - проектирование, профессиональный инжиниринг, монтаж и наладка оборудования, послегарантийное обслуживание.
Инжиниринговая компания «ЭкоПрог» предоставляет полный спектр услуг от проектирования до ввода объекта в эксплуатацию для всех видов коммерческой недвижимости, корпоративные проекты инженерной инфраструктуры для различных предприятий и госсектора, создание инженерной инфраструктуры промышленных предприятий. Реализация проектов по созданию интегрированной информационной инфраструктуры предприятия и оптимизации управления информационными ресурсами позволяют повысить оперативность принятия решений и сократить совокупные затраты на информационные технологии.