Файл: Назначение и структура системы защиты информации коммерческого предприятия ..pdf
Добавлен: 27.05.2023
Просмотров: 101
Скачиваний: 3
СОДЕРЖАНИЕ
Глава 1. Защита информации и информационная безопасность
1.1 Определение состава защищаемой информации
1.2 Роль и место коммерческой информации в управлении предприятием
1.3 Виды обеспечения системы защиты информации от несанкционированного доступа
2.1 Организационно - экономическая характеристика ПАО "Омскшина"
2.2 Анализ системы защиты конфиденциальной информации
2.3 Рекомендации по совершенствованию системы использования коммерческой информации на предприятии
-инсталляционная дискета с программным модулем комплекса ФПСУ-IP/Клиент;
-конверты с персональными PIN (Personal Identity Number code) и PUK (Personal Unblocked Key code) кодами пользователя и администратора для работы с VPN-key.
АРМ «Клиент» АС «Клиент-Сбербанк»
Рабочее место "Клиент" автоматизированной системы "Клиент-Сбербанк" предназначено для ввода, редакции и отправки документов в банк, а так же получения из банка информации о проведенных платежах, выписок по счетам, справочных данных и почты свободного формата.
Применяемые в системе "Клиент-Сбербанк" процедуры электронной подписи и шифрования передаваемых файлов исключают злоумышленный перехват, прочтение и искажение передаваемой информации. Процедура электронной подписи удовлетворяет стандартам Российской Федерации ГОСТ Р34.10-94 Информационная технология.
Криптографическая защита информации. Система электронной цифровой подписи на базе асимметричного криптографического алгоритма и ГОСТ Р34.11-94 Информационная технология. Криптографическая защита информации. Функция хэширования, а процедура шифрования - требованиям ГОСТ 28147-89. При работе с системой различным категориям пользователей могут быть назначены различные права, что обеспечивает дополнительный уровень защиты от несанкционированного использования программы. Встроенная в программное обеспечение транспортная подсистема обмена данными с банком использует стандартный протокол TCP/IP, что позволяет устанавливать сеанс связи через глобальные сети.
Антивирус «Dr.Web для Windows»
Антивирус Dr.Web - эффективный инструмент для постоянного мониторинга состояния компьютера, надежно блокирующий попытки вирусов, троянских программ, почтовых червей, шпионского ПО и других вредоносных объектов проникнуть в систему из любых внешних источников. Антивирус Dr.Web удобен в использовании и нетребователен к системным ресурсам - может быть установлен на любой ПК, на котором установлена ОС Windows.
Отличительные особенности Dr.Web для Windows:
-возможность работы на уже инфицированном компьютере и исключительная вирусоустойчивость выделяют Dr.Web среди всех других аналогичных программ;
-может быть установлен на уже инфицированный компьютер и способен вылечить его;
-сканер Dr.Web можно запустить с внешнего носителя без установки в системе;
-большинство атаковавших систему вирусов могут быть устранены уже во время установки антивируса Dr.Web при сканировании памяти и файлов автозагрузки. Более того, непосредственно перед сканированием (в процессе установки) предусмотрена возможность обновления вирусных баз.
2.3 Рекомендации по совершенствованию системы использования коммерческой информации на предприятии
Для защиты конфиденциальной информации в организации должны быть разработаны следующие нормативно-правовые документы[51]:
-перечень сведений, составляющих коммерческую тайну;
-договорное обязательство о неразглашении коммерческой тайны;
-инструкция по защите коммерческой тайны.
Разграничение и предоставление доступа к функциональности осуществляется на основании документов концепции полномочий и регламента управления доступом.
ИСУП должна обеспечивать контролируемый доступ показателям к
функциям и данным Системы при помощи встроенных средств для управления безопасностью, которые позволяют:
-Назначать ограниченный круг пользователей администрато-рами системы, которые будут иметь возможность управлять настройками прав доступа;
-Управлять настройками прав доступа для пользователей, со-здавать пользователей и группы пользователей и назначать им необходимые права, редактировать существующие настройки безопасности (доступно только администраторам системы);
-Присваивать пользователей более чем в одну группу;
-Ограничивать административно доступ пользователей и групп пользователей к различным информационным объектам при помощи определения профилей доступа к элементам для конкретных пользователей и их групп;
-Управлять и обслуживать ограниченное число конфигураций прав доступа групп вместо настройки прав для большого числа отдельных пользователей и присваивать их пользователям и группам;
-Отображать только те информационные объекты, на которые пользователь имеет права;
-Если пользователь выполняет запрос к информационным объектам, к которым он не имеет прав доступа, то ИСУП должна:
− выдать сообщение об отсутствии необходимого доступа;
− не отображать такие объекты для данного пользователя.
Защита информации, представленной в электронном виде, должна осуществляться в соответствии с требования РД ФСТЭК, и СТР-К (специальные требования и рекомендации по технической защите конфиденциальной информации)[52].
В первую очередь следует разработать перечень сведений, составляющий коммерческую тайну.
Сведения, включенные в Перечень, имеют ограниченный характер на использование (применение). Ограничения, вводимые на использования сведений, составляющих коммерческую тайну, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при организации трудовой деятельности работников (персонала) её подразделений, а также при их сотрудничестве с работниками других предприятий.
Перечень должен доводиться не реже одного раза в год до всех сотрудников организации, которые используют в своей работе сведения, конфиденциального характера. Все лица принимаемы на работу в организацию, должны пройти инструктаж и ознакомиться с памяткой о сохранении конфиденциальной информации.
Сотрудник, получивший доступ к конфиденциальной информации и документам, должен подписать индивидуальное письменное договорное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации.
Далее должна быть разработана инструкция, регламентирующая порядок доступа сотрудников к конфиденциальной информации, порядок создания, учёта, хранения и уничтожения конфиденциальной документов организации.
Для уничтожения документов имеющих грифы «Конфиденциально» или «Коммерческая тайна» целесообразно использовать специальное устройство - уничтожитель бумаги, которое разрезает листы бумаги на полосы, делая считывание информации носителей невозможным. Для рассматриваемого предприятия оптимальным является приобретение устройства SHRED-ET С-06P (с корзиной), обладающего высокой скоростью уничтожения бумаги и вместе с тем приемлемой ценой.
Кроме того, на исследуемом объекте целесообразно использовать систему резервного копирования на сервере, содержащем базу данных программы «1С:Предприятие», для обеспечения возможности восстановления базы данных после программных или аппаратных сбоев.
Для организации резервного копирования целесообразно использовать программу Acronis True Image Echo. Данная программа является средством для резервного копирования и аварийного восстановления данных на отдельном компьютере, имеющим широкий ряд опций, таких как возможность резервного копирования систем целиком или отдельных файлов и папок, аварийное восстановление отдельных файлов и папок или диска целиком, удаленное управление задачами резервного копирования и восстановления данных, восстановление систем на различное оборудование. Использование описанной выше программы позволяет снизить вероятность угроз целостности и доступности информации, содержащейся на компьютере.
Выводы по главе 2
ИСУП ПАО «Омскшина» предназначена для обеспечения информационной поддержки процессов управления деятельностью ПАО «Омскшина», автоматизации повседневной деятельности персонала с использованием современных технологий и средств обработки и представления информации.
Обеспечение информационной безопасности может осуществляться как специальными средствами защиты информации, так и организационными мерами.
СУБД, используемые на предприятии, должны включать штатные средства защиты информации от несанкционированного доступа. В используемых СУБД необходимо применять средства регистрации (аудита) и разграничение доступа к объектам БД на основе прав, привилегий, ролей, представлений данных, процедур и т.п. при помощи штатных (встроенных) средств защиты информации от несанкционированного доступа.
В прикладных подсистемах необходимо использовать встроенные средства разграничения доступа к информационным объектам ERP-системы[53].
В состав должны входить:
-средства разграничения доступа;
-средства контроля целостности;
-средства контроля и регистрации событий безопасности;
-средства управления доступом, в том числе:
-средства управления учетными записями;
-средства управления доступом.
ЗАКЛЮЧЕНИЕ
Информация - это сведения, которые должны снять в большей или меньшей степени существующую до их получения неопределенность у получателя, пополнить систему его понимания объекта полезными сведениями[54]. Информация играет важную роль в предоставлении сведений для принятия управленческих решений и является одним из факторов, обеспечивающих снижение издержек производства и повышение его эффективности. К информации предъявляются определенные требования:
-краткость, четкость формулировок, своевременность поступления;
-удовлетворение потребностей конкретных управляющих;
-точность и достоверность, правильный отбор первичных сведений,
-оптимальность систематизации и непрерывность сбора и обработки сведений.
В наше время информация имеет слишком большую ценность, чтобы можно было спокойно смотреть на ее возможную утечку. Поэтому не последнее место должна занимать организация защиты информации и необходимо целенаправленно проводить множество мероприятий по ее защите[55].
Проблемы, связанные с повышением безопасности информационной сферы, являются сложными, многоплановыми и взаимосвязанными. Именно развитие информационных технологий приводит к тому, что государству и обществу необходимо постоянно прилагать совместные усилия по совершенствованию методов и средств, которые могут позволить достоверно оценивать угрозы безопасности информационной сферы и адекватно реагировать на них[56].
Защищать информацию от несанкционированного доступа – это значит:
- обеспечивать физическую целостность информации, т.е. не допускать искажений или уничтожения ее элементов;
- не допускать подмены (модификации) элементов информации при сохранении ее целостности;
- не допустить несанкционированного получения информации лицами или процессами, не имеющими на это соответствующих полномочий;
- быть уверенным в том, что передаваемые (продаваемые) владельцем информации ресурсы будут использоваться только в соответствии с обговоренными сторонами условиями[57].
Современные операционные системы, используемые на предприятии (различные версии Windows, OS/2 и т.п.) имеют специальные функции для перезагрузки компьютера, и именно ими следует пользоваться для корректной работы. В противном случае пользователь рискует потерять не только некоторый объем информации, хранимой на компьютере, но и в некоторых случаях работоспособность операционной системы в целом[58].
В случае некорректного выключения компьютера при следующей загрузке операционная система попытается восстановить аварийное завершение предыдущего сеанса работы, выдаст предупреждение о том, что предыдущий сеанс не был нормально завершён, и предложит осуществить мероприятия по дополнительной диагностике и восстановлению системы.
Пользователь должен помнить о персональной ответственности за целостность и сохранность хранящейся на компьютере информации и необходимости периодического резервного копирования важных файлов данных.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
- Конституция Российской Федерации.
- Доктрина информационной безопасности России утв. Президентом РФ 9 сентября 2000 г. № Пр-1895.
- Федеральный закон «Об информации, информационных технологиях и защите информации» от 27 июля 2006 г. N 149-ФЗ.
- Анализ состояния защиты данных в информационных системах: учебно-метод. пособие / В.В. Денисов. Сост.– Новосибирск: Изд-во НГТУ, 2015. – 52 с.
- Баранова, Е.К. Основы информатики и защиты информации: Учебное пособие / Е.К. Баранова. - М.: Риор, 2016. - 199 c.
- Грэхем, Р.Л. Конкретная математика. Математические основы информатики / Р.Л. Грэхем. - М.: Вильямс И.Д., 2017. - 784 c.
- Давлетов, З.Х. Основы современной информатики: Учебное пособие / З.Х. Давлетов. - СПб.: Лань КПТ, 2016. - 256 c.
- Жаров, М.В. Основы информатики: Учебное пособие / М.В. Жаров, А.Р. Палтиевич, А.В. Соколов. - М.: Форум, 2017. - 512 c.
- Забуга, А.А. Теоретические основы информатики: Учебное пособие / А.А. Забуга. - СПб.: Питер, 2015. - 80 c.
- Ивлева А. И. Защита информации в беспроводных Wi-Fi-сетях / А. И. Ивлева. – Хабаровск: Хабаровский пограничный ин-т ФСБ России, 2014. – 142 с.: ил. – Библиогр.: с. 128-133.
- Кудинов, Ю.И. Основы современной информатики: Учебное пособие / Ю.И. Кудинов, Ф.Ф. Пащенко. - СПб.: Лань, 2018. - 256 c.
- Ляхович, В.Ф. Основы информатики (спо) / В.Ф. Ляхович, В.А. Молодцов, Н.Б. Рыжикова. - М.: КноРус, 2018. - 264 c.
- Матросов, В.Л. Теоретические основы информатики: Учебник / В.Л. Матросов. - М.: Academia, 2017. - 832 c.
- Марков А.С., Фадин А.А. Систематика уязвимостей и дефектов безопасности программных ресурсов. // Защита информации. Инсайд. - 2015. №3. - С. 56-61.
- Правовые аспекты использования Интернет-технологий /под ред. А.С.Кемрадж, Д.В. Головерова. – М.: Книжный мир, 2016. - 410 с.
- Правовые основы информационной безопасности/ Ю.А. Белевская и др.; рец.: В.И. Шаров, А.С. Овчинский ; под общ. ред. А.П. Фисуна и др. - Орел: ГУ-УНПК : ОГУ, 2014. - 214 с.
- Рабинович Е. В. Информатика для всех [Электронный ресурс]: электронный учебно-методический комплекс / Е. В. Рабинович; Новосиб. гос. техн. ун-т. - Новосибирск, [2014]. - Режим доступа: http://courses.edu.nstu.ru/index.php?show=155&curs=639. - Загл. с экрана.
- Сиротский А. А. Защита информации и обеспечение безопасности в беспроводных телекоммуникационных сетях // Информационные технологии. Радиоэлектроника. Телекоммуникации (ITRT - 2012): сб. ст. междунар. науч.-техн. конф. – Тольятти, 2016. – Ч. 3. – C. 256-262.
- Топилин Я. Н. Положение о разрешительной системе допуска к информационным ресурсам организации, содержащим персональные данные (работников, клиентов, граждан) // Там же. - 2014 .- N 1 .- С. 18-24
- Шаньгин В. Ф. Комплексная защита информации в корпоративных системах / В. Ф. Шаньгин - М.: Форум, 2016. - 591 с.
- ГОСТ Р 53113.1-2008 «Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения».