Файл: Назначение и структура системы защиты информации коммерческого предприятия ..pdf
Добавлен: 27.05.2023
Просмотров: 102
Скачиваний: 3
СОДЕРЖАНИЕ
Глава 1. Защита информации и информационная безопасность
1.1 Определение состава защищаемой информации
1.2 Роль и место коммерческой информации в управлении предприятием
1.3 Виды обеспечения системы защиты информации от несанкционированного доступа
2.1 Организационно - экономическая характеристика ПАО "Омскшина"
2.2 Анализ системы защиты конфиденциальной информации
2.3 Рекомендации по совершенствованию системы использования коммерческой информации на предприятии
В построении оптимальных информационных потоков необходима ориентация либо на конкретного пользователя, либо на конкретный результат. Пользователи могут быть внутренние (руководители структурных подразделений и функциональных служб, собственники) и внешние (контрагенты по сделкам, поставщики и покупатели, кредиторы, акционеры, налоговые органы и др.). И каждого из них могут интересовать различные аспекты деятельности предприятия, а, следовательно, различные составляющие экономической информации[27].
Ориентация на конкретный результат означает, что в выборе источников информации надо определиться с тем, что мы хотим из нее извлечь. Можно рассчитать показатели экономической эффективности, безубыточности, качества работы коллектива, объема продукции и др. Для каждого показателя необходимы свои исходные данные.
Сбор информации должен стать важной функцией в компании. Только при наличии выраженной информационной функции в компании регулярно будут поступать сведения надлежащего качества. Неотъемлемая часть хорошо налаженной системы информационного обеспечения компании - это механизм внутрифирменного информирования между подразделениями[28].
Возрастающая значимость информации как ресурса требует усиления внимания и к способам получения и обработки информации. Высокая потребность в информации для целей управления и бурное развитие информационных процессов выдвинули на первый план создание компонентов ее инфраструктуры. Проблему оптимального использования информационного ресурса призваны решать существующие автоматизированные аналитические и бухгалтерские программы.
Однако способ их применения, а также присущая программам разрозненность, отсутствие единых баз данных сводят усилия к минимальному результату. Кроме того, необходимо преодолеть во многом косность мышления, определенные стереотипы, когда речь идет, например, о внедрении информационных технологий и связанных с этим преобразованиях всей организационной (в том числе управленческой) структуры предприятия[29].
Таким образом, всем предприятиям, стремящимся достичь преимуществ полного владения экономической информацией, необходимо отладить систему своего информационного обеспечения. В общем виде направления оптимизации управления потоками экономической информации выглядят следующим образом[30].
Чтобы охватить всю информацию и организовать работу с информационными ресурсами, необходимо, во-первых, четко определиться, как и где зарождается экономическая информация (в рамках производственной системы предприятия). Затем, определившись с целями, которые ставятся перед каждым ее блоком, и определенным образом «профильтровав» ее, следует создать механизм фиксации информации. Расстояния от точки фиксации (как употреблялось выше - опорных пунктов) до пользователя должны быть минимальными, как и время их «доставки».
Далее, на основе структурирования информации, становится возможной обработка информации с использованием математических методов и, соответственно, программных продуктов. Такая обработка позволяет осуществлять любое планирование или анализ с наибольшей точностью, так как изначально не теряется никакая значимая информация[31].
Планирование на основе достаточно полной, достоверной и точной информации принесет ощутимую экономию всех видов ресурсов. Останется только подсчитать экономический эффект, сопоставив экономию с затратами на все оптимизационные мероприятия, включая внедрение информационных технологий.
В идеальном варианте возможно, таким образом, так настроить информационную систему предприятия, что она сама будет выявлять и приоритеты, и узкие места, и выдавать наиболее совершенные варианты действий для управления, а предприятие может стать гибкой самонастраивающейся системой[32].
1.3 Виды обеспечения системы защиты информации от несанкционированного доступа
Система защиты информации от несанкционированного доступа должна состоять из следующего:
- правовая поддержка: нормативные документы, положения, инструкции, руководящие принципы, которые являются обязательными в рамках их деятельности;
- организационная поддержка: внедрение информационной безопасности осуществляется определенными структурными подразделениями, такими как служба безопасности документов; режим обслуживания, входа, охрана; служба защиты информации техническими средствами; информационно-аналитическая деятельность и т. д.;
- аппаратное обеспечение: использование технических средств для защиты информации от несанкционированного доступа;
- информационная поддержка: информация, данные, индикаторы, параметры, которые лежат в рамках решения проблем;
- программное обеспечение: различные информационные, бухгалтерские, статистические и расчетные программы, которые могут обеспечивать несанкционированного доступа, а также опасности различных каналов утечки и способы несанкционированного доступа к источникам конфиденциальной информации;
- математическая поддержка: математические методы использования технических средств злоумышленников, зон и стандартов необходимой защиты информации от несанкционированного доступа;
- Лингвистическая поддержка: наличие норм и правил для деятельности органов, служб, средств, реализующих функции защиты информации от несанкционированного доступа, различные методы, обеспечивающие активность пользователей при выполнении их работы[33].
Проблема определения требований к защите информации от несанкционированного доступа, то есть когда средства электронных вычислений стали доступными для обработки конфиденциальной информации, стоит особенно остро, поскольку существует большое количество таких каналов несанкционированного доступа к информации.
Предметом информационной безопасности является компьютерная система или автоматизированная система обработки данных (АСОД).
Компьютерная система представляет собой набор аппаратного и программного обеспечения, предназначенного для автоматического сбора, хранения, обработки, передачи и получения информации. Наряду с термином «информация» по отношению к КС часто используется термин «данные». Другое определение, что используется при защите информации - «информационные ресурсы». В соответствии с законодательством Российской Федерации «Информация, информатизация и защита информации» информация ставится в соответствии с выбранными документами и отдельными документами в информационных системах (библиотеки, архивы, фонды, данные и другие информационные системы).
Концепция КС очень широка и охватывает следующие системы:
- компьютеры всех классов и назначений;
- вычислительные системы и комплексы;
- сети (местные, региональные и глобальные).
Такой широкий спектр систем в сочетании с одним определением важен по двум причинам: во-первых, для всех этих систем основные проблемы защиты информации являются общими, и вторая - меньшие системы являются элементами больших систем. Если для защиты информации в любой системе есть свои особенности, они рассматриваются отдельно[34].
Предметом защиты компьютерных систем является информация. Материальной основой существования информации в КС являются электронные и электромеханические устройства (подсистемы), а также аппаратура поддержки. С помощью устройств ввода или систем передачи данных (СПД) информация попадает в компьютерную систему[35].
Системная информация сохраняется в памяти устройства (памяти) на различных уровнях, преобразуется (обработка) процессором (PC), и из системы выходит через устройство вывода или сеть. Как компьютерные средства носителей информации используются магнитные ленты, диски различных типов. Ранее, мультимедийные компьютеры использовали бумагу, перфокарты и перфоленты, магнитные барабаны и карты. Большинство типов компьютерных носителей являются съемными, то есть могут быть удалены с устройства и использоваться (флеш-карты) или храниться (ленточные накопители, диски) отдельно от устройств. Таким образом защита информации (информационная безопасность) в компьютерных системах касается защиты устройства (подсистем) и машин от несанкционированного доступа к носителям и воздействия на них[36].
Однако такое рассмотрение КС с точки зрения защиты информации является неполным. Компьютерные системы представляют собой класс человеко-машинных систем. Эти системы находятся в ведении специалистов (персонала) в интересах пользователей. Кроме того, в последние годы, пользователи имеют прямой доступ к системам. Для некоторых из КС (например, ПК), пользователи выполняют функции обслуживающего персонала.
При рассмотрении защиты автоматизированных систем целесообразно использовать четыре градации доступа к хранению, обработке и защите информационной системы, которая поможет систематизировать как возможные угрозы и меры по их нейтрализации и отражения, то есть помочь систематизировать и обобщить весь спектр защиты, связанной с информационной безопасностью. Эти уровни следующие: уровень средств записи информации, уровень взаимодействия с носителем информации, уровень информации, уровень информативности[37].
Эти уровни были основаны на том, что:
1. Средства обработки информации часто переносятся на материал, которым может быть бумага, гибкий диск или другой носитель;
2. Если путь информации таков, что она не может быть непосредственно восприниматься человеком, существует необходимость для преобразования данных в человеческий способ представления.
3. Информация может быть охарактеризована по способу ее представления или, что также называется языком в повседневных условиях.
4. Человек должен присутствовать, чтобы определить смысл информации, ее семантику.
На рисунке 1 представлена концептуальная модель безопасности информации.
Рисунок 1 – Концептуальная модель защиты информации от несанкционированного доступа
Система защиты информации (СЗИ) в ее наиболее общей форме может быть определена как организованный набор всех средств, методов и видов деятельности, определенных в автоматизированных системах обработки данных[38].
К ней имеется ряд конкретных, ориентированных требований, которые можно разделить на функциональные, эргономические, экономические, технические и организационные. В комплексе эти требования показаны на рисунке 2 (приложение 1)[39].
Концептуальная единство означает, что архитектура, технологии, организация и эксплуатация СЗИ в целом и ее составных компонентов следует рассматривать и применять в строгом соответствии с основными положениями единой концепции информационной безопасности[40].
Адекватность требований означает, что СЗИ должны быть построены в строгом соответствии с требованиями по защите, которые в свою очередь определяются категорией безопасности соответствующего объекта, и значений параметров, влияющих на безопасность информации[41].
Гибкость (адаптивность) СЗИ – это построение такой организации ее функционирования, при которой функции безопасности будут осуществляться эффективно при изменении в диапазоне структуры АСОД, технологических схем, или условий эксплуатации любой из его компонентов.
Функциональная независимость подразумевает, что СЗИ должна быть вполне самостоятельной подсистемой обеспечения АСОД и при реализации функций безопасности не зависеть от других подсистем[42].
Удобство в использовании означает, что СЗИ не должна создавать дополнительные неудобства для пользователей и персонала АСОД.
Минимизация предоставленных прав означает, что каждый пользователь и каждый человек из персонала АСОД должны иметь ограничение в правах доступа к ресурсам АСОД в рамках только той информации, что действительно нужна для выполнения их функций в процессе автоматизированной обработки данных.