Файл: Назначение и структура системы защиты информации коммерческого предприятия ..pdf
Добавлен: 27.05.2023
Просмотров: 105
Скачиваний: 3
СОДЕРЖАНИЕ
Глава 1. Защита информации и информационная безопасность
1.1 Определение состава защищаемой информации
1.2 Роль и место коммерческой информации в управлении предприятием
1.3 Виды обеспечения системы защиты информации от несанкционированного доступа
2.1 Организационно - экономическая характеристика ПАО "Омскшина"
2.2 Анализ системы защиты конфиденциальной информации
2.3 Рекомендации по совершенствованию системы использования коммерческой информации на предприятии
ВВЕДЕНИЕ
В процессе формирования и развития человечества роль информации изменяется. Особенно при современном состоянии развития производственных сил роль информации занимает одно из важнейших мест в коммерческой деятельности.
Актуальность курсовой работы состоит в том, что изучение информационной безопасности позволяет защитить данные информационных систем, а также сами информационные системы от несанкционированного доступа.
В этой работе рассматривается информационная безопасность, а также защита информации от несанкционированного доступа. Эти процессы всесторонне рассматриваются при внедрении системы безопасности. Проблема защиты информации многогранна и сложна, а также охватывает ряд важных задач. Проблемы информационной безопасности постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, компьютерных систем[1].
Защищаемая информация является собственностью и подлежит соблюдению правовых документов и требований, которые установлены владельцем информации, которым может быть один человек, группа лиц, юридические лица и государство.
Носителем защищенной информации может быть физическое лицо, материальный объект или физический объект. Информация содержится в виде символов, сигналов и изображений, технических процессов и решений, количественных характеристик физических величин.
Существует такая вещь, как объект информации, который также нуждается в защите. Охраняемый объект информации, как информационная
система, предназначен для обработки защищаемой информации.
Основными объектами обеспечения информационной безопасности:
˗ информационные ресурсы, что содержат конфиденциальную информацию;
˗ системы и объекты, которые обрабатывают конфиденциальную информацию (технические средства для приема, обработки, хранения и передачи информации (ТСПИ);
˗ ТСПИ в средствах обработки секретной и конфиденциальной информации.
Таким образом, объекты информационной безопасности являются источниками информации для носителей информации и получателей информации.
Целью курсовой работы определение и выполнение требований к структуре системы защиты информации коммерческого предприятия.
Объектом исследования в данной курсовой работе является информационная безопасность.
Предметом исследования в этом курсовом проекте является защита информации от несанкционированного доступа.
Задачи, которые поставлены в курсовой работе:
-Изучить определение состава защищаемой информации;
-Рассмотреть роль и место коммерческой информации в управлении предприятием;
-Изучить виды обеспечения системы защиты информации от несанкционированного доступа;
-Произвести анализ системы защиты конфиденциальной информации;
-Дать рекомендации по совершенствованию системы использования коммерческой информации на предприятии ПАО «Омскшина».
Глава 1. Защита информации и информационная безопасность
1.1 Определение состава защищаемой информации
Понятие "информация" является одним из самых распространенных. Термин "информация" произошел от латинского "informatio" , что означает - разъяснение, изложение. Первоначально под информацией понимали сообщения, сведения, передаваемые одними людьми другим людям, а также сам процесс передачи этих сведений. В процессе развития цивилизации понятие информации изменялось. Появилась потребность в научном подходе к понятию информации и определению ее свойств. В 20 веке появилось множество новых определений информации. Сейчас нет универсального определения, т.к. понятия трансформируются в зависимости от той сферы, в которой они используются[2].
В связи с ускоряющимися темпами развития человеческой деятельности информация становится рабочим инструментом как экономической деятельности, приводящей в действие и регулирующей ее механизмы, а также применимая во многих областях. Процесс развития обуславливает выход на новый уровень информационного обеспечение. Притом, требования к нему растут гораздо быстрее, чем оно совершенствуется[3].
Информация становится важнейшим из компонентов коммерческой деятельности. В настоящее время необходимость в качественном информационном обеспечении значительно возрастает. Роль информации выходит на первый план как в производственной так и не производственной сфере. В этих условиях формируются информационные системы, которые и призваны обеспечить выход на новый уровень. Который был способен оптимизировать информационное обеспечение предприятий в условиях динамического развития. По этим причинам и проявляется реальная необходимость создания эффективного информационного обеспечения коммерческой деятельности предприятия[4].
Системы необходимы для оптимизации деятельн6ости. На примере некоторых предприятий можно наблюдать, как качественное информационное обеспечение наряду с другими факторами может являться решающим элементом в осуществлении коммерческой деятельности предприятия. Некоторые теоретики выделяют информационные системы в категорию присущую только корпорациям, но это не так, прежде всего по тому, что информация существует как неотъемлемая часть коммерческой деятельности и присуща предприятиям любого размера.
Часто утверждается, что любая открытая информация не может быть предметом защиты. Не все согласны с включением сведений, составляющих государственную тайну, в состав конфиденциальной информации[5].
Защита общественной информации всегда существовала и были сделаны записи ее на носители информации, зарегистрированы их передвижения и места хранения, т. е. созданы безопасные условия хранения. Доступность информации, не умаляет ее значения, и ценная информация должна быть защищена от потери. Эта защита не должна быть направлена на ограничение доступа к информации, то есть при этом не может быть отказано в доступе к информации, но доступ должен быть в соответствии с требованиями безопасности и в соответствии с требованиями обработки и использования (например, библиотека)[6].
При принятии решения о классификации конкретной информации, требующей защиты, должны руководствоваться определенными критериями, т. е. знаками отличия, при которых информация может быть классифицирована как защищаемая.
Очевидно, что общее основание для классификации информации как защищаемой, определяется значением информации, так как оно определяет значение информации, которую нужно защитить. Таким образом, критерии для классификации защищаемой информации, по существу, это критерии для определения его ценности.
Что касается общественной информации, такими критериями могут быть:
- Потребность в информации для юридической поддержки компании. Это касается документированной информации, которая всегда регулирует статус компании, права, обязанности и ответственность ее работников;
- Потребность в информации для производственной деятельности (в том числе информацию, которая касается исследований, проектирования, инжиниринга, технологий, т.е. производственной деятельности);
- Необходимость информационного обеспечения деятельности, информация, которая необходима для принятия решений, для организации производственной деятельности и обеспечения ее функционирования;
- Потребность в информации финансовой деятельности;
- -Потребность в информации, которая для обеспечивает функционирования социальной сферы;
- Потребность в информации как источника доказательства в случае конфликта;
- Важность информации как исторического источника, которая выявляет тенденций и особенностей компании.
Обеспечение информационной безопасности может осуществляться как специальными средствами защиты информации, так и организационными мерами.
СУБД, должны включать штатные средства защиты информации от несанкционированного доступа. В используемых СУБД необходимо применять средства регистрации (аудита) и разграничение доступа к объектам БД на основе прав, привилегий, ролей, представлений данных, процедур и т.п. при помощи штатных (встроенных) средств защиты информации от несанкционированного доступа[7].
В прикладных подсистемах необходимо использовать встроенные средства разграничения доступа к информационным объектам ERP-системы.
В состав должны входить:
- средства разграничения доступа;
- средства контроля целостности;
- средства контроля и регистрации событий безопасности;
- средства управления доступом, в том числе:
- средства управления учетными записями;
- средства управления доступом.
Разграничение и предоставление доступа к функциональности осуществляется на основании документов концепции полномочий и регламента управления доступом[8]. Обеспечивать контролируемый доступ показателям к функциям и данным системы при помощи встроенных средств для управления безопасностью, которые позволяют:
- Назначать ограниченный круг пользователей администраторами системы, которые будут иметь возможность управлять настройками прав доступа;
- Управлять настройками прав доступа для пользователей, создавать пользователей и группы пользователей и назначать им необходимые права, редактировать существующие настройки безопасности (доступно только администраторам системы);
- Присваивать пользователей более чем в одну группу;
- Ограничивать административно доступ пользователей и групп пользователей к различным информационным объектам при помощи определения профилей доступа к элементам для конкретных пользователей и их групп;
- Управлять и обслуживать ограниченное число конфигураций прав доступа групп вместо настройки прав для большого числа отдельных пользователей и присваивать их пользователям и группам;
- Отображать только те информационные объекты, на которые пользователь имеет права;
- Если пользователь выполняет запрос к информационным объектам, к которым он не имеет прав доступа, то ИСУП должна:
- выдать сообщение об отсутствии необходимого доступа;
- не отображать такие объекты для данного пользователя[9].
Эти критерии определяют необходимость того, чтобы защитить общественность от потери информации. Они также вызывают необходимость защиты от потери и конфиденциальной информации. Однако основным определяющим критерием для классификации информации в качестве конфиденциальной и защиты ее от утечки является возможность воспользоваться преимуществами использования информации из-за неизвестности ее третьим лицам. Этот критерий имеет, по крайней мере, два компонента: неопределенность информации третьим лицам и преимущества в связи с этой неопределенностью[10].
Эти элементы взаимосвязаны и взаимозависимы, поскольку, с одной стороны, неизвестная информация для третьих лиц сама по себе не имеет значения, если не обеспечивает преимущества другой - преимущества могут быть получены только из-за этой неопределенности. Конфиденциальность является правовой формой документа и в то же время обеспечением неизвестности информации.
Преимущества использования информации, которая не известна третьим лицам, могут быть с целью получения выгоды или предотвращения вреда, в зависимости от областей и сфер деятельности, политические, военные, экономические, моральные и другие характеристики, выраженные в количественных и качественных показателях[11].
Пользователю запрещается:
- самовольно вносить и модифицировать системные настройки аппаратной части технических и телекоммуникационных средств и системного ПО;
- использовать ПО для исследования и использования потенциальных уязвимостей серверного ПО;
- копировать, изменять, удалять, использовать или распространять информацию, находящуюся в локальной компьютерной сети предприятия для целей, не связанных с непосредственными служебными обязанностями;
- хранить на сетевых дисках файлы, не связанные с выполнением служебных обязанностей[12];
- допускать посторонних лиц к работе в локальной компьютерной сети предприятия;
- использовать для работы в локальной компьютерной сети предприятия чужие сетевые реквизиты (сетевое имя, пароль);