Файл: Назначение и структура системы защиты информации коммерческого предприятия (Понятие «информационная безопасность», проблемы, задачи).pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 29.03.2023

Просмотров: 122

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Введение

Информационное общество привело к серьезным изменениям в способах выполнения профессиональных обязанностей для большинства специалистов. В настоящие дни нетехнический специалист среднего уровня вполне может выполнять работу, которую раньше выполнял высококвалифицированный программист. Практически любой сотрудник организации/предприятия имеет в своем распоряжении столько точной и оперативной информации, сколько никогда раньше не имел.

Однако использование компьютеров и информационных технологий (ИТ) приводит к появлению серьезных проблем для руководства компаний/предприятий/организаций. Компьютеры в организации, которые часто объединены в компьютерную сеть (КС), могут предоставлять доступ к огромному количеству самой разнообразной информации, в том числе и секретной. Поэтому люди начинают беспокоиться о безопасности имеющейся информации и наличии рисков, которые связаны с автоматизацией бизнес-процессов и предоставлением гораздо большего доступа к персональным, конфиденциальным и/или другим критическим данным. Кроме того, явно просматривается тенденция увеличения числа компьютерных преступлений, что может привести в конечном итоге к подрыву экономики.

Актуальность темы заключается в том, что остро возникает необходимость понимания информации как ресурса, который необходимо защищать.

Целью данной работы является исследование проблем назначения и структуры системы защиты информации на примере конкретного предприятия.

Объектом исследования выступает коммерческое предприятие ООО «СтройМонолитДом». Предметом исследования является защита информации коммерческой деятельности.

Задачи работы:

  • выполнить обзор и анализ литературы по избранной теме;
  • дать характеристику предприятию, раскрыть его структуру;
  • дать характеристику некоторому подразделению предприятия, выделить функции, используемые ИТ и др.;
  • дать характеристику отделу АСУ предприятия, описать средства ИТ, используемые для проектирования, разработки и сопровождения ИС;
  • выполнить практическое задание.

Глава 1. Теоретические вопросы защиты инофрмации


1.1. Понятие «информационная безопасность», проблемы, задачи

Информационные ресурсы компанииэто совокупность различных данных и программ, которые задействованы при обработке информации техническими средствами (ТС).

Понятие «информационная безопасность» подразумевает защищенность информационной системы (ИС) от случайного/ преднамеренного вмешательства, которое наносит ущерб пользователям или владельцам информации.

Цель информационной безопасности (ИБ): обезопасить ценности системы, защитить и гарантировать точность и целостность заложенной в ней информации, и минимизировать разрушения, которые могут иметь место, если данная информация будет модифицирована или разрушена.

ИБ включает в себя деятельность по защите процессов создания данных, ввода этих данных, обработки и их вывода. ИБ требует учета всех событий, в ходе которых информация создается, модифицируется, обеспечивается доступ к ней или распространение.

На практике важнейшими аспектами ИБ являются следующие:

  • доступность (возможность беспрепятственного доступа к ресурсам информационно-телекоммуникационной системы (ИТС) при наличии соответствующих прав доступа у пользователя);
  • целостность (актуальность и непротиворечивость информации, а также невозможность несанкционированных изменений имеющихся информационных ресурсов);
  • конфиденциальность (возможность хранения, обработки и пересылки информации ограниченного круга распространения в ИТС).

Далее определим основные термины, связанные с рассматриваемым понятием:

  • Угроза ИБ – это потенциальная возможность нарушения указанных выше характеристик ИТС в ходе ее функционирования;
  • Уязвимость ИТС – это возможность возникновения угрозы ИБ;
  • Утечка – это хищение информации, а также средств ее обработки;
  • Искажение – это модификация и подделка информации;
  • Задержка в доступе – это невозможность обращения к информации за приемлемое время.

Формирование режима ИБ – это комплексная проблема. Меры по решению данной проблемы можно разделить на пять уровней:

  1. законодательный уровень (нормативные акты, законы, стандарты и т.п.);
  2. морально-этический уровень (нормы поведения);
  3. административный уровень (действия общего характера, которые предпринимаются руководством организации);
  4. физический уровень (механические, электронно- и электро-механические препятствия на путях проникновения потенциальных нарушителей);
  5. аппаратно-программный уровень (специальные программы и электронные устройства для защиты информации).

Единая совокупность всех перечисленных выше мер, которые направлены на противодействие угрозам безопасности с целью уменьшения возможности ущерба, образуют систему защиты.

Надежная система защиты должна соответствовать следующим основным принципам:

  • стоимость средств защиты должна быть меньше размеров возможного ущерба;
  • защита тем эффективнее, чем проще с ней работать пользователю;
  • каждый пользователь должен иметь минимальный набор привилегий, которые необходимы ему для работы.
  • возможность отключения в экстренных ситуациях;
  • разработчики системы защиты, не должны быть в числе тех сотрудников, кого данная система будет контролировать;
  • и т.д.

1.2. Классификация и содержание угроз, уязвимые места компьютерных сетей

Основные причины возникновения угроз:

  • технологические (недостатки операционной системы (ОС), стека протоколов TCP/IP и сетевого оборудования);
  • недостатки конфигурации (неправильные настройки сетевого оборудования и служб Internet);
  • недостатки политики безопасности (отсутствие документированных правил, небрежность администрирования/контроля, частая смена персонала).

Приведем классификацию и содержание угроз, уязвимые места компьютерных сетей по различным признакам:

  • классификация угроз по источникам (источником является природная среда, человек, являются санкционированные программно-
    аппаратные    средства, несанкционированные программно-аппаратные средства);
  • классификация угроз по локализации источника (внутренние, внешние);
  • классификация угроз по видам нарушителей (внутренние (служащие с враждебными намерениями; служащие, совершающие непреднамеренные нарушения); внешние (любители острых ощущений; конкуренты; похитители; враждебно настроенные бывшие сотрудники))
  • классификация угроз по мотивации (умышленные, неумышленные);
  • классификация по видам вредоносного программного обеспечения (ПО) (вирус – это небольшая программа, которая создана для изменения информации без ведома пользователя; троян – это вредоносная программа, которая содержится внутри другой безвредной программы, выполняет роль шпиона и запускается пользователем; червь – это вредоносная программа, которая самостоятельно распространяет свои копии по локальной и по глобальной сети);

1.3. Методы и средства защиты информации в сетях

Аппаратно-программные средства, применяемые для защиты информации, можно разбить на следующие 5 групп:

  • Группа 1: идентификация и аутентификация пользователя (распознавание и проверка подлинности).
  • Группа 2: шифрование дисковых данных.
  • Группа 3: шифрование данных, которые передаются по компьютерным сетям.
  • Группа 4: аутентификация электронных данных.
  • Группа 5: управление криптографическими ключами.

Средства идентификации и аутентификации пользователя применяются для ограничения доступа к ресурсам компьютерной системы (КС) случайных и незаконных пользователей. Общий алгоритм работы: получение от пользователя информации, удостоверяющей его личность, проверка ее подлинности и предоставление (или не предоставление) пользователю возможности работы с системой.

При построении данных систем возникает проблема выбора той информации, на основе которой необходимо осуществлять процедуры идентификации и аутентификации пользователя. Можно выделить следующие типы:

  • секретная информация, которой обладает конкретный пользователь (секретный ключ, пароль и т.д.);
  • пользователь должен запомнить секретную информацию либо для нее можно применить специальные средства хранения;
  • физиологические параметры человека (рисунок радужной оболочки глаза, отпечатки пальцев и т.д.) либо особенности поведения человека (особенности работы на клавиатуре и т.д.).

Чтобы сделать какую-либо информацию бесполезной для недоброжелателя, используется совокупность методов преобразования данных, которая называется криптографией. Системы шифрования данных могут выполнять криптографические преобразования на уровне файлов (архиваторы типа ARJ и RAR) или на уровне дисков (программа шифрования Diskreet).

Другим признаком для классификации систем шифрования дисковых данных является способ функционирования данных систем. По способу функционирования системы шифрования дисковых данных делятся на следующие два класса:

  • системы «прозрачного» шифрования (преобразование осуществляется в режиме реального времени, причем незаметно для пользователя);
  • системы, вызываемые для осуществления шифрования данных (утилиты, которые нужно специально вызывать для осуществления шифрования данных).

Различают два основных способа шифрования данных, которые передаются по сетям:

  • канальное шифрование (защита всей информации, которая передается по каналу связи, включая служебную информацию);
  • оконечное (абонентское) шифрование (позволяет обеспечить конфиденциальность данных, которые передаются между двумя абонентами; защищается только содержание сообщений, а вся служебная информация остается открытой).

Достоинства канального шифрования:

  • встраивание процедур шифрования данных на канальный уровень позволяет использовать аппаратные средства, а это способствует повышению производительности систем.

Недостатки канального шифрования:

  • шифрование служебных данных осложняет механизм маршрутизации сетевых пакетов, в частности, требует расшифровку данных в устройствах промежуточной коммуникации (шлюзы, ретрансляторы и т.д.);
  • шифрование служебной информации может привести к появлению статистической закономерности в шифрованных данных, что может повлиять на надежность защиты и ввести ограничения на использование криптографических алгоритмов.

Недостатком абонентского шифрования является возможность анализа информации о структуре обмена сообщениями, например, о получателе, о времени передачи данных, а также об объеме данных.

При обмене данными по сети возникает проблема аутентификации автора документа, а также самого документа, т.е. установление подлинности автора и проверка отсутствия каких-либо изменений в полученном документе. Для аутентификации данных применяются:

  • код аутентификации сообщения;
  • электронная подпись (относительно небольшое количество дополнительной аутентифицирующей информации, которая передается вместе с подписываемым текстом).

Безопасность любой криптосистемы определяется тем, какие используются криптографические ключи. В случае ненадежного управления этими ключами недоброжелатель может завладеть ключевой информацией, что позволит ему получить полный доступ ко всей информации, заложенной в системе или КС.

Различают следующие виды функций управления ключами:

  • генерация (генерация ключей симметричных криптосистем с использованием аппаратных и программных средств генерации случайных чисел и т.д.);
  • хранение (организация безопасного хранения, учета и удаления ключевой информации);
  • распределение ключей (гарантирование скрытности распределяемых ключей, оперативность и точность).