Файл: Назначение и структура системы защиты информации коммерческого предприятия ..pdf

-инсталляционная дискета с программным модулем комплекса ФПСУ-IP/Клиент;

-конверты с персональными PIN (Personal Identity Number code) и PUK (Personal Unblocked Key code) кодами пользователя и администратора для работы с VPN-key.

АРМ «Клиент» АС «Клиент-Сбербанк»

Рабочее место "Клиент" автоматизированной системы "Клиент-Сбербанк" предназначено для ввода, редакции и отправки документов в банк, а так же получения из банка информации о проведенных платежах, выписок по счетам, справочных данных и почты свободного формата.

Применяемые в системе "Клиент-Сбербанк" процедуры электронной подписи и шифрования передаваемых файлов исключают злоумышленный перехват, прочтение и искажение передаваемой информации. Процедура электронной подписи удовлетворяет стандартам Российской Федерации ГОСТ Р34.10-94 Информационная технология.

Криптографическая защита информации. Система электронной цифровой подписи на базе асимметричного криптографического алгоритма и ГОСТ Р34.11-94 Информационная технология. Криптографическая защита информации. Функция хэширования, а процедура шифрования - требованиям ГОСТ 28147-89. При работе с системой различным категориям пользователей могут быть назначены различные права, что обеспечивает дополнительный уровень защиты от несанкционированного использования программы. Встроенная в программное обеспечение транспортная подсистема обмена данными с банком использует стандартный протокол TCP/IP, что позволяет устанавливать сеанс связи через глобальные сети.

Антивирус «Dr.Web для Windows»

Антивирус Dr.Web - эффективный инструмент для постоянного мониторинга состояния компьютера, надежно блокирующий попытки вирусов, троянских программ, почтовых червей, шпионского ПО и других вредоносных объектов проникнуть в систему из любых внешних источников. Антивирус Dr.Web удобен в использовании и нетребователен к системным ресурсам - может быть установлен на любой ПК, на котором установлена ОС Windows.

Отличительные особенности Dr.Web для Windows:

-возможность работы на уже инфицированном компьютере и исключительная вирусоустойчивость выделяют Dr.Web среди всех других аналогичных программ;

-может быть установлен на уже инфицированный компьютер и способен вылечить его;

-сканер Dr.Web можно запустить с внешнего носителя без установки в системе;

-большинство атаковавших систему вирусов могут быть устранены уже во время установки антивируса Dr.Web при сканировании памяти и файлов автозагрузки. Более того, непосредственно перед сканированием (в процессе установки) предусмотрена возможность обновления вирусных баз.

2.3 Рекомендации по совершенствованию системы использования коммерческой информации на предприятии

Для защиты конфиденциальной информации в организации должны быть разработаны следующие нормативно-правовые документы^[51]:

-перечень сведений, составляющих коммерческую тайну;

-договорное обязательство о неразглашении коммерческой тайны;

-инструкция по защите коммерческой тайны.

Разграничение и предоставление доступа к функциональности осуществляется на основании документов концепции полномочий и регламента управления доступом.

ИСУП должна обеспечивать контролируемый доступ показателям к

функциям и данным Системы при помощи встроенных средств для управления безопасностью, которые позволяют:

-Назначать ограниченный круг пользователей администрато-рами системы, которые будут иметь возможность управлять настройками прав доступа;

-Управлять настройками прав доступа для пользователей, со-здавать пользователей и группы пользователей и назначать им необходимые права, редактировать существующие настройки безопасности (доступно только администраторам системы);

-Присваивать пользователей более чем в одну группу;

-Ограничивать административно доступ пользователей и групп пользователей к различным информационным объектам при помощи определения профилей доступа к элементам для конкретных пользователей и их групп;

-Управлять и обслуживать ограниченное число конфигураций прав доступа групп вместо настройки прав для большого числа отдельных пользователей и присваивать их пользователям и группам;

-Отображать только те информационные объекты, на которые пользователь имеет права;

-Если пользователь выполняет запрос к информационным объектам, к которым он не имеет прав доступа, то ИСУП должна:

− выдать сообщение об отсутствии необходимого доступа;

− не отображать такие объекты для данного пользователя.

Защита информации, представленной в электронном виде, должна осуществляться в соответствии с требования РД ФСТЭК, и СТР-К (специальные требования и рекомендации по технической защите конфиденциальной информации)^[52].

В первую очередь следует разработать перечень сведений, составляющий коммерческую тайну.

Сведения, включенные в Перечень, имеют ограниченный характер на использование (применение). Ограничения, вводимые на использования сведений, составляющих коммерческую тайну, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при организации трудовой деятельности работников (персонала) её подразделений, а также при их сотрудничестве с работниками других предприятий.

Перечень должен доводиться не реже одного раза в год до всех сотрудников организации, которые используют в своей работе сведения, конфиденциального характера. Все лица принимаемы на работу в организацию, должны пройти инструктаж и ознакомиться с памяткой о сохранении конфиденциальной информации.

Сотрудник, получивший доступ к конфиденциальной информации и документам, должен подписать индивидуальное письменное договорное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации.

Далее должна быть разработана инструкция, регламентирующая порядок доступа сотрудников к конфиденциальной информации, порядок создания, учёта, хранения и уничтожения конфиденциальной документов организации.

Для уничтожения документов имеющих грифы «Конфиденциально» или «Коммерческая тайна» целесообразно использовать специальное устройство - уничтожитель бумаги, которое разрезает листы бумаги на полосы, делая считывание информации носителей невозможным. Для рассматриваемого предприятия оптимальным является приобретение устройства SHRED-ET С-06P (с корзиной), обладающего высокой скоростью уничтожения бумаги и вместе с тем приемлемой ценой.

Кроме того, на исследуемом объекте целесообразно использовать систему резервного копирования на сервере, содержащем базу данных программы «1С:Предприятие», для обеспечения возможности восстановления базы данных после программных или аппаратных сбоев.

Для организации резервного копирования целесообразно использовать программу Acronis True Image Echo. Данная программа является средством для резервного копирования и аварийного восстановления данных на отдельном компьютере, имеющим широкий ряд опций, таких как возможность резервного копирования систем целиком или отдельных файлов и папок, аварийное восстановление отдельных файлов и папок или диска целиком, удаленное управление задачами резервного копирования и восстановления данных, восстановление систем на различное оборудование. Использование описанной выше программы позволяет снизить вероятность угроз целостности и доступности информации, содержащейся на компьютере.

Выводы по главе 2

ИСУП ПАО «Омскшина» предназначена для обеспечения информационной поддержки процессов управления деятельностью ПАО «Омскшина», автоматизации повседневной деятельности персонала с использованием современных технологий и средств обработки и представления информации.

Обеспечение информационной безопасности может осуществляться как специальными средствами защиты информации, так и организационными мерами.

СУБД, используемые на предприятии, должны включать штатные средства защиты информации от несанкционированного доступа. В используемых СУБД необходимо применять средства регистрации (аудита) и разграничение доступа к объектам БД на основе прав, привилегий, ролей, представлений данных, процедур и т.п. при помощи штатных (встроенных) средств защиты информации от несанкционированного доступа.

В прикладных подсистемах необходимо использовать встроенные средства разграничения доступа к информационным объектам ERP-системы^[53].

В состав должны входить:

-средства разграничения доступа;

-средства контроля целостности;

-средства контроля и регистрации событий безопасности;

-средства управления доступом, в том числе:

-средства управления учетными записями;

-средства управления доступом.

ЗАКЛЮЧЕНИЕ

Информация - это сведения, которые должны снять в большей или меньшей степени существующую до их получения неопределенность у получателя, пополнить систему его понимания объекта полезными сведениями^[54]. Информация играет важную роль в предоставлении сведений для принятия управленческих решений и является одним из факторов, обеспечивающих снижение издержек производства и повышение его эффективности. К информации предъявляются определенные требования:

-краткость, четкость формулировок, своевременность поступления;

-удовлетворение потребностей конкретных управляющих;

-точность и достоверность, правильный отбор первичных сведений,

-оптимальность систематизации и непрерывность сбора и обработки сведений.

В наше время информация имеет слишком большую ценность, чтобы можно было спокойно смотреть на ее возможную утечку. Поэтому не последнее место должна занимать организация защиты информации и необходимо целенаправленно проводить множество мероприятий по ее защите^[55].

Проблемы, связанные с повышением безопасности информационной сферы, являются сложными, многоплановыми и взаимосвязанными. Именно развитие информационных технологий приводит к тому, что государству и обществу необходимо постоянно прилагать совместные усилия по совершенствованию методов и средств, которые могут позволить достоверно оценивать угрозы безопасности информационной сферы и адекватно реагировать на них^[56].

Защищать информацию от несанкционированного доступа – это значит:

- обеспечивать физическую целостность информации, т.е. не допускать искажений или уничтожения ее элементов;

- не допускать подмены (модификации) элементов информации при сохранении ее целостности;

- не допустить несанкционированного получения информации лицами или процессами, не имеющими на это соответствующих полномочий;

- быть уверенным в том, что передаваемые (продаваемые) владельцем информации ресурсы будут использоваться только в соответствии с обговоренными сторонами условиями^[57].

Современные операционные системы, используемые на предприятии (различные версии Windows, OS/2 и т.п.) имеют специальные функции для перезагрузки компьютера, и именно ими следует пользоваться для корректной работы. В противном случае пользователь рискует потерять не только некоторый объем информации, хранимой на компьютере, но и в некоторых случаях работоспособность операционной системы в целом^[58].

В случае некорректного выключения компьютера при следующей загрузке операционная система попытается восстановить аварийное завершение предыдущего сеанса работы, выдаст предупреждение о том, что предыдущий сеанс не был нормально завершён, и предложит осуществить мероприятия по дополнительной диагностике и восстановлению системы.

Пользователь должен помнить о персональной ответственности за целостность и сохранность хранящейся на компьютере информации и необходимости периодического резервного копирования важных файлов данных.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. Конституция Российской Федерации.
2. Доктрина информационной безопасности России утв. Президентом РФ 9 сентября 2000 г. № Пр-1895.
3. Федеральный закон «Об информации, информационных технологиях и защите информации» от 27 июля 2006 г. N 149-ФЗ.
4. Анализ состояния защиты данных в информационных системах: учебно-метод. пособие / В.В. Денисов. Сост.– Новосибирск: Изд-во НГТУ, 2015. – 52 с.
5. Баранова, Е.К. Основы информатики и защиты информации: Учебное пособие / Е.К. Баранова. - М.: Риор, 2016. - 199 c.
6. Грэхем, Р.Л. Конкретная математика. Математические основы информатики / Р.Л. Грэхем. - М.: Вильямс И.Д., 2017. - 784 c.
7. Давлетов, З.Х. Основы современной информатики: Учебное пособие / З.Х. Давлетов. - СПб.: Лань КПТ, 2016. - 256 c.
8. Жаров, М.В. Основы информатики: Учебное пособие / М.В. Жаров, А.Р. Палтиевич, А.В. Соколов. - М.: Форум, 2017. - 512 c.
9. Забуга, А.А. Теоретические основы информатики: Учебное пособие / А.А. Забуга. - СПб.: Питер, 2015. - 80 c.
10. Ивлева А. И. Защита информации в беспроводных Wi-Fi-сетях / А. И. Ивлева. – Хабаровск: Хабаровский пограничный ин-т ФСБ России, 2014. – 142 с.: ил. – Библиогр.: с. 128-133.
11. Кудинов, Ю.И. Основы современной информатики: Учебное пособие / Ю.И. Кудинов, Ф.Ф. Пащенко. - СПб.: Лань, 2018. - 256 c.
12. Ляхович, В.Ф. Основы информатики (спо) / В.Ф. Ляхович, В.А. Молодцов, Н.Б. Рыжикова. - М.: КноРус, 2018. - 264 c.
13. Матросов, В.Л. Теоретические основы информатики: Учебник / В.Л. Матросов. - М.: Academia, 2017. - 832 c.
14. Марков А.С., Фадин А.А. Систематика уязвимостей и дефектов безопасности программных ресурсов. // Защита информации. Инсайд. - 2015. №3. - С. 56-61.
15. Правовые аспекты использования Интернет-технологий /под ред. А.С.Кемрадж, Д.В. Головерова. – М.: Книжный мир, 2016. - 410 с.
16. Правовые основы информационной безопасности/ Ю.А. Белевская и др.; рец.: В.И. Шаров, А.С. Овчинский ; под общ. ред. А.П. Фисуна и др. - Орел: ГУ-УНПК : ОГУ, 2014. - 214 с.
17. Рабинович Е. В. Информатика для всех [Электронный ресурс]: электронный учебно-методический комплекс / Е. В. Рабинович; Новосиб. гос. техн. ун-т. - Новосибирск, [2014]. - Режим доступа: http://courses.edu.nstu.ru/index.php?show=155&curs=639. - Загл. с экрана.
18. Сиротский А. А. Защита информации и обеспечение безопасности в беспроводных телекоммуникационных сетях // Информационные технологии. Радиоэлектроника. Телекоммуникации (ITRT - 2012): сб. ст. междунар. науч.-техн. конф. – Тольятти, 2016. – Ч. 3. – C. 256-262.
19. Топилин Я. Н. Положение о разрешительной системе допуска к информационным ресурсам организации, содержащим персональные данные (работников, клиентов, граждан) // Там же. - 2014 .- N 1 .- С. 18-24
20. Шаньгин В. Ф. Комплексная защита информации в корпоративных системах / В. Ф. Шаньгин - М.: Форум, 2016. - 591 с.
21. ГОСТ Р 53113.1-2008 «Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения».