Файл: Принципы соединения пользователей с ресурсами.pdf

Имеются подключения к сетям связи общего пользования и сетям международного информационного обмена.

Режим обработки персональных данных в информационной системе - многопользовательский.

Осуществляется разграничение прав доступа пользователей.

Местонахождение информационной системы персональных данных целиком в пределах Российской Федерации.

Коммерческая тайна.

Для компании следующая информация составляет коммерческую тайну:

Планы:

• планы развития предприятия;
• планы инвестиций предприятия;
• план закупок и продаж;
• объем предстоящих закупок по срокам, ассортименту, ценам, фирмам.

Финансы:

• стоимость товарных запасов;
• бюджет;
• обороты;
• сведения о финансовых операциях;
• банковские операции;
• состояние банковских счетов предприятия и производимых операций;
• уровень выручки;
• долговые обязательства;
• источники кредитов и условия по ним.

Рынок:

• результаты маркетинговых исследований;
• сведения, содержащие выводы и рекомендации специалистов по стратегии и тактике деятельности организации;
• коммерческие замыслы, коммерческо-политические цели фирмы.

Партнеры:

• коммерческие связи;
• места закупки товаров;
• сведения о поставщиках.

Переговоры:

• внутренний порядок проработки предложений партнеров;
• сроки, выделенные для проработки и заключения сделки;
• сведения о фактах подготовки и ведения переговоров;
• директивы по проведению переговоров, включая тактику, границы полномочий должностных лиц по ценам, скидкам и другим условиям;
• сведения и документы, относящиеся к деловой политике и позиции организации по конкретным сделкам;
• материалы и приложения к предложениям при прямых переговорах;
• сведения, раскрывающие тактику ведения переговоров при заключении контрактов или соглашений на закупку товаров, уровень максимально уторгованных цен, объемы имеющихся средств и другие конкурентные материалы, используемые для повышения эффективности сделки;
• сведения о мероприятиях, проводимых перед переговорами;
• сведения о ходе и результатах коммерческих переговоров.

Контракты:

• условия по сделкам и соглашениям;
• условия контрактов, включая цены;
• особые условия контрактов (скидки, рассрочки платежей и т. д.).

Цены:

• сведения о методике расчетов конкурентных цен, а также при оценке стоимости работ и услуг;
• расчеты цен;
• внутренние прейскуранты и тарифы;
• сведения о себестоимости и контрактных ценах товаров, услуг.

Совещания:

• результаты совещаний и заседаний органов управления.

Общедоступные.

К общедоступным информационным ресурсам в компании относятся:

• данные корпоративного сайта компании;
• мировые данные;
• СМИ.

Актуальные угрозы для компании.

После проведения анализа возможных угроз, были выявлены следующие актуальные угрозы:

• утечка видовой информации;
• разглашение конфиденциальной информации, хранящейся на серверах;
• копирование конфиденциальной информации с сервера;
• физический доступ нарушителя к АРМ, копирование конфиденциальной информации;
• разглашение конфиденциальной информации, хранящейся на АРМ;
• разрушение конфиденциальной информации при помощи специальных программ и вирусов на АРМ;
• физический доступ нарушителя к документам;
• разглашение конфиденциальной информации, используемой в документах, вынос документов за пределы контролируемой зоны;
• несанкционированное копирование, печать и размножение конфиденциальных документов.

Модель нарушителя.

Всех нарушителей можно разделить на внешних и внутренних.

В роли внешних нарушителей чаще всего выступают конкуренты, криминальные группировки, коррупционеры в составе правовых и административных органов власти. Действия внешних нарушителей могут быть направлены на пассивные носители информации, снятие информации в процессе обмена, уничтожение информации или повреждение ее носителей. Действия нарушителей могут быть направлены на персонал компании и выражаться в форме подкупа, угроз, шантажа, выведывания с целью получения информации, составляющей коммерческую тайну, или предполагать переманивание ведущих специалистов компании.

Внутренние нарушители предоставляют наибольшую опасность. Так как сотрудники компании могут иметь доступ к информации, составляющей коммерческую тайну или знать о методах защиты такой информации. Угрозы могут исходить от некомпетентных руководителей, недобросовестного и малоквалифицированного персонала, расхитителей и мошенников, устаревших средств производственной деятельности. Отдельные сотрудники с высоким уровнем самооценки, из-за неудовлетворенности своих амбиций (уровень зарплаты, отношения с руководством, коллегами и пр.) могут инициативно выдать коммерческую информацию конкурентам, попытаться уничтожить важную информацию или пассивные носители, например, внести компьютерный вирус.

Таким образом, модель нарушителя можно представить следующим образом:

Внутренние нарушители:

• разработчики информационных систем;
• сотрудники;
• пользователи.

Внешние нарушители:

• конкуренты;
• криминальные группировки.

2.4 Выводы по главе

Во второй главе нами рассмотрена краткая характеристика предприятия ООО «Элегия», его организационная структура.

В данной главе была проанализирована основная деятельность компании, ее организационная структура. Было проведено изучение информационной инфраструктуры. Составлена схематичная карта сети предприятия.

Выполнен анализ информационных ресурсов предприятия и рассмотрены группы ресурсов, относящиеся к категории «С ограниченным доступом». Согласно проведенному анализу, к этой категории относятся персональные данные сотрудников и ресурсы, представляющие коммерческую тайну.

3. Принципы соединения сотрудников компании с информационными ресурсами

3.1 Соединение пользователей с общедоступными ресурсами

Основная задача распределенных систем - облегчить пользователям доступ к удаленным ресурсам и обеспечить их совместное использование, регулируя этот процесс [7]. Ресурсы могут быть виртуальными, однако традиционно они включают в себя принтеры, компьютеры, устройства хранения данных, файлы и данные. Web-страницы и сети также входят в этот список. Существует множество причин для совместного использования ресурсов. Одна из очевидных — это экономичность. Например, гораздо дешевле разрешить совместную работу с принтером нескольких пользователей, чем покупать и обслуживать отдельный принтер для каждого пользователя. Точно так же имеет смысл совместно использовать дорогие ресурсы, такие как суперкомпьютеры или высокопроизводительные хранилища данных.

Соединение пользователей и ресурсов также облегчает кооперацию и обмен информацией, что лучше всего иллюстрируется успехом Интернета с его простыми протоколами для обмена файлами, почтой, документами, аудио- и видеоинформацией [10]. Связь через Интернет в настоящее время привела к появлению многочисленных виртуальных организаций, в которых географически удаленные друг от друга группы сотрудников работают вместе при помощи систем групповой работы (groupware) - программ для совместного редактирования документов, проведения телеконференций и т. п.

Однако по мере роста числа подключений и степени совместного использования ресурсов все более и более важными становятся вопросы безопасности. В современной практике системы имеют слабую защиту от подслушивания или вторжения по линиям связи. Пароли и другая особо важная информация часто пересылаются по сетям открытым текстом (то есть незашифрованными) или хранятся на серверах, надежность которых не подтверждена ничем, кроме нашей веры. Здесь имеется еще очень много возможностей для улучшения.

Другая проблема безопасности состоит в том, что прослеживание коммуникаций позволяет построить профиль предпочтений конкретного пользователя. Подобное отслеживание серьезно нарушает права личности, особенно если производится без уведомления пользователя. Связанная с этим проблема состоит в том, что рост подключений ведет к росту нежелательного контента, такого как получаемые по электронной почте бессмысленные письма, так называемый спам [6]. Единственное, что можно сделать в этом случае, это защитить себя, используя специальные информационные фильтры, которые сортируют входящие сообщения на основании их содержимого.

Важная задача распределенных систем состоит в том, чтобы скрыть тот факт, что процессы и ресурсы физически распределены по множеству компьютеров. Распределенные системы, которые представляются пользователям и приложениям в виде единой компьютерной системы, называются прозрачными (transparent).

Прозрачность доступа (access transparency) призвана скрыть разницу в представлении данных и в способах доступа пользователя к ресурсам. Так, при пересылке целого числа с рабочей станции на базе процессора Intel необходимо принять во внимание, что процессоры Intel оперируют с числами формата «младший — последним» (то есть первым передается старший байт), а процессор SPARC использует формат «старший — последним» (то есть первым передается младший байт). Также в данных могут присутствовать и другие несоответствия. Например, распределенная система может содержать компьютеры с различными операционными системами, каждая из которых имеет собственные ограничения на способ представления имен файлов. Разница в ограничениях на способ представления имен файлов, так же как и собственно работа с ними, должны быть скрыты от пользователей и приложений.

Важная группа типов прозрачности связана с местоположением ресурсов.

Прозрачность местоположения (location transparency) призвана скрыть от пользователя, где именно физически расположен в системе нужный ему ресурс. Важную роль в реализации прозрачности местоположения играет именование. Так, прозрачность местоположения может быть достигнута путем присвоения ресурсам только логических имен, то есть таких имен, в которых не содержится закодированных сведений о местоположении ресурса.

О распределенных системах, в которых смена местоположения ресурсов не влияет на доступ к ним, говорят как об обеспечивающих прозрачность переноса (migration transparency). Более серьезна ситуация, когда местоположение ресурсов может измениться в процессе их использования, причем пользователь или приложение ничего не заметят. В этом случае говорят, что система поддерживает прозрачность смены местоположения (relocation transparency). Примером могут служить мобильные пользователи, работающие с беспроводным переносным компьютером и не подключающиеся (даже временно) от сети при перемещении с места на место.

Последний тип прозрачности, который обычно ассоциируется с распределенными системами, — это прозрачность сохранности (persistence transparency), маскирующая реальную (диск) или виртуальную (оперативная память) сохранность ресурсов. Так, например, многие объектно-ориентированные базы данных предоставляют возможность непосредственного вызова методов для сохраненных объектов. За сценой в этот момент происходит следующее: сервер баз данных сначала копирует состояние объекта с диска в оперативную память, затем выполняет операцию и, наконец, записывает состояние на устройство длительного хранения. Пользователь, однако, остается в неведении о том, что сервер перемещает данные между оперативной памятью и диском. Сохранность играет важную роль в распределенных системах, однако не менее важна она и для обычных (не распределенных) систем.

3.2 Использование сотрудниками информационных ресурсов с ограниченным доступом

Высшим руководством организации ООО «Элегия», в лице директора, было выработано четкое положение об информационной политики безопасности для всех подразделений организации. Политика безопасности является результатом совместной деятельности технического персонала, возложенного на системного администратора, способного понять все аспекты политики и ее реализации, а также директора, способного влиять на проведение политики в жизнь.

В одном из пунктов данного положения говорится, что для обеспечения поддержания информационной безопасности на высоком уровне, один раз в год будет проводиться проверка внутренним аудитом, которая построена на полном соответствии правовых и законодательных документах по аудиторской деятельности Российской Федерации. В ходе проверки будет применяться детальный анализ риска, который включает в себя оценку уязвимости активов.