Совершенствование системы информационной безопасности на предприятии ООО "Нива" Уинского района
3
Курсовой проект
по дисциплине: "Информационная безопасность"
на тему:
"Совершенствование системы информационной безопасности на предприятии ООО "Нива" Уинского района"
Содержание
- Введение
- Глава 1 Анализ системы информационной безопасности на предприятии
- 1.1 Характеристика предприятия
- 1.2 Организационная структура предприятия
- 1.3 Служба по вопросам защиты информации
- 1.4 Анализ и характеристика информационных ресурсов предприятия
- 1.5 Угрозы информационной безопасности характерные для предприятия
- 1.6 Методы и средства защиты информации на предприятии
- Глава 2 Совершенствование СИБ
- 2.1 Недостатки в системе защиты информации
- 2.2 Цель и задачи системы информационной безопасности
- 2.3 Мероприятия и средства по совершенствованию системы информационной безопасности
- 2.4 Эффективность предложенных мероприятий
- Глава 3 Модель информационной системы с позиции безопасности
- Заключение
- Список использованной литературы
ВведениеАктуальность проблемы защиты информации сегодня не вызывает сомнений. Успех современной компании и ее развитие в условиях острой конкуренции в значительной степени зависят от применения информационных технологий, а следовательно, от степени обеспечения информационной безопасности.
Любое предприятие располагает различными видами информации, представляющими интерес для злоумышленников. Прежде всего, это коммерческие данные, информация, являющаяся интеллектуальной собственностью предприятия и конфиденциальные данные.
Поэтому защите информации от неправомерного овладения ею отводится весьма значительное место. При этом "целями защиты информации являются: предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствие с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения".
Как видно из этого определения целей защиты, информационная безопасность - довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита.
Для того чтобы отразить подход организации к защите своих информационных активов необходимо разработать политику информационной безопасности. Каждое предприятие должно осознать необходимость поддержания соответствующего режима безопасности и выделения на эти цели значительных ресурсов.
Политика информационной безопасности - свод документов, в которых рассматриваются вопросы организации, стратегии, методов и процедур в отношении конфиденциальности, целостности и доступности информационных ресурсов предприятия. Политика безопасности строится на основе анализа рисков - процесса определения угроз безопасности системы и отдельным ее компонентам, определение их характеристик и потенциального ущерба.
Конечная цель разработки политики информационной безопасности - обеспечить целостность, доступность и конфиденциальность для каждого информационного ресурса.
Обследуемое предприятие ООО "Нива" циркулирует большое количество информации конфиденциального характера, доступ к которой необходимо ограничить. Поэтому, целью будет являться разработка такой системы по защите информации, при которой угрозы утечки конфиденциальной информации будут минимальны.
Приемы и способы исследования
При изучении всей структуры предприятия использовались следующие методы:
аналитический;
сбор документов;
интервьюирование.
Аналитический метод - основан на анализе собранной информации за конкретный период. Он включает: анализ конкретного рабочего процесса, разделение его на элементы, проектирование рациональных режимов работы оборудования, организации труда и необходимых затрат времени по элементам трудового процесса, установление норм на операции.
Сбор (изучение) документооборота - сбор документов осуществлялся на всех этапах проведения обследования. Документы являются обоснованием и обеспечением создаваемой модели деятельности и документооборота.
Интервьюирование - важнейший и необходимый метод обследования, только с его помощью возможно разобраться во всех тонкостях применяемых на предприятии технологий. Современное предприятие - сложнейшая система, как оно функционирует, не знает ни один человек. Интервьюирование являлось наиболее сложной задачей: необходимо найти контакт с сотрудником и направить беседу в необходимое для аналитика русло.
На основе собранной информации проводился анализ информационной безопасности предприятия.
Глава 1. Анализ системы информационной безопасности на предприятии1.1 Характеристика предприятияОбъектом обследования является предприятие ООО "Нива", входящее в структуру Агрохолдинга ООО "Управляющая компания "Ашатли", г. Пермь. Агрохолдинг состоит из следующих составляющих:1) Молочное животноводство1. ООО "Нива" Уинский район2. ООО "Горы" Осинский район3. ООО "АгроСепыч" Верещагинский район2) Переработка молочного сырья1. ООО "Нива" Уинский район3) Растениеводство (кормозаготовка, овощи открытого грунта, семеноводство)4. ООО "Михино" Ординский район4) Тепличное направление (овощи закрытого грунта, зелень, розы)5. ООО "Тепличный комбинат", г. Чайковский5) Мясное направление (откорм, убой, переработка)6. ООО "Очерское мясо" Очерский район6) Земельное направление (управление землями)7. ООО "Жемчужина", г. Пермь7. ООО "Ашатли Инвест", г. ПермьПодробное географическое расположение объектов представлено на рис.1.1.Рисунок 1.1 - Географическое расположение объектов агрохолдинга "Ашатли"Общество с ограниченной ответственностью "Нива" Уинского района Пермской области образовано 1 января 2002 года на базе бывшего подразделения ПСХ "Нива" предприятия "Пермтрансгаз", именуемое в дальнейшем "Общество". До 21 сентября 2005 года учредителями Общества являлись предприятие "Пермтрансгаз" и директор ООО "Нива" Зомарев Иван Дмитриевич, а начиная с 21 сентября 2005 года единственным учредителем становится ООО "Тулым". Общество создано в соответствии с законодательством РФ, и действует на основании настоящего Устава и законодательства Российской Федерации. Общество имеет расчетный счет в банке, круглую печать со своим наименованием, эмблему, штампы, бланки и другие реквизиты. Предприятие имеет самостоятельный баланс.Юридический и почтовый адрес: 617530 Пермский край, Уинский район, село Аспа, улица Молодежная-1а.Землепользование Общества расположено в западной части Уинского района. Административно-хозяйственный центр - с. Аспа. Расстояние до районного центра с. Уинское - 18 километров, до железнодорожной станции города Чернушка - 45 километров, до областного центра город Пермь - 200 километров. Связь с пунктами сдачи сельскохозяйственной продукции и железнодорожной станцией осуществляется автомобильным транспортом по дороге с асфальтовым покрытием.Организационная структура представляет собой совокупность производственных, вспомогательных и обслуживающих подразделений. Основной формой организации труда является производственная бригада, состав которых и численность зависят от направления цеха, принятой технологии и уровня механизации.Цели и виды деятельностиОсновными видами деятельности Общества являются производство молока, мяса, зерна. Хозяйство имеет свой молочный завод, где занимается переработкой молока, производя сыр, масло, творог, сметану.Общество занимается семеноводством зерновых культур и многолетних трав.Основной целью деятельности общества является следующие:извлечение прибыли;расширение и развитие производства;выпуск качественной продукции.Миссии и ценности компанииМиссия общества:активно развиваемся,несем инновации в сельское хозяйство,заботимся о здоровье людей.Главной целью является развитие, расширение и стремление достичь высших результатов в сельскохозяйственной деятельности, применяя современные технологии, используя научно-технический прогресс, при этом не забывая о здоровье людей. Выпускаемая продукция должна соответствовать всем требованиям качества и полезности, при этом быть доступной для всех категорий граждан (приемлемые цены).Ценности компании:лидерство, ответственность, командность.Каждый работник должен обладать лидерскими качествами, умением принимать правильное и быстрое решение, быть ответственным. Ведь только при едином сплоченном коллективе возможно достижение поставленных целей.1.2 Организационная структура предприятияОрганизационная структура ООО "Нива" (приложение А) сформированная с целью обеспечения достижения целей Общества, построена по линейно-функциональному признаку. Предприятие осуществляет свою деятельность в соответствии с действующим законодательством Российской Федерации и Уставом предприятия.
Руководителем является управляющий директор. В подчинении у управляющего директора находятся главный бухгалтер, главный экономист, главный агроном, начальник цеха молочного животноводства, начальник молочного завода, главный инженер и главный строитель. Заместители управляющего директора, контролируют работу управлений, которым подчинены различные отделы. Каждый отдел подчиняется начальнику отдела и действует строго в соответствии с пунктом 4 "ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ РАБОТНИКОВ" правил внутреннего трудового распорядка УК "Ашатли".
1.3 Служба по вопросам защиты информацииКонкретная служба по защите информации на предприятии отсутствует. Поэтому ответственность за защищаемую информацию несет специалист по управлению персоналом. Данная документация обрабатываются путем строгого контроля изъятия и возвращения документов под расписку уполномоченного работника. За информацию, относящуюся к коммерческой тайне, несут ответственность следующие служащие предприятия: начальники, бухгалтера, экономисты, инженеры.
1.4 Анализ и характеристика информационных ресурсов предприятияИсследуемое предприятие содержит следующие информационные ресурсы:
информация, относящаяся к коммерческой тайне:
· заработная плата,
· договоры с поставщиками и покупателями,
· технологии производства;
защищаемая информация:
· личные дела работников,
· трудовые договора,
· личные карты работников,
· содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности,
· прочие разработки и документы для внутреннего пользования;
открытая информация:
· буклеты,
· информация на web-сайте www.ashatli-agro.ru,
· учредительный документ,
· устав,
· прайс-лист продукции.
1.5 Угрозы информационной безопасности характерные для предприятияУгрозы и уязвимости на предприятии1. Автоматизированное рабочее место сотрудника|
Угроза | Уязвимости | |
1. Физический доступ нарушителя к рабочему месту | 1. Отсутствие системы контроля доступа сотрудников к чужим рабочим местам | |
| 2. Отсутствие системы видеонаблюдения на предприятии | |
2. Разглашение конфиденциальной информации, хранящейся на рабочем месте сотрудника организации | 1. Отсутствие соглашения о неразглашении между работником и работодателем | |
| 2. Нечеткая регламентация ответственности сотрудников предприятия | |
3. Разрушение (повреждение, утрата) конфиденциальной информации при помощи специализированных программ и вирусов | 1. Отсутствие ограничения доступа пользователей к сети интернет и к внутренней корпоративной сети | |
|
2. Конфиденциальная информация
|
Угроза | Уязвимости | |
1. Физический доступ нарушителя к носителям | 1. Неорганизованность контрольно-пропускного режима в организации | |
| 2. Отсутствие видеонаблюдения в организации | |
2. Разглашение конфиденциальной информации, используемой в документах, вынос носителей за пределы контролируемой зоны | 1. Отсутствие соглашения о неразглашении конфиденциальной информации | |
| 2. Нечеткое распределение ответственности за документы (носители конфиденциальной информации) между сотрудниками организации | |
3. Несанкционированное копирование, печать и размножение носителей конфиденциальной информации | 1. Нечеткая организация конфиденциального документооборота в организации | |
| 2. Неконтролируемый доступ сотрудников к копировальной и множительной технике | |
|
На предприятии существует угрозы доступности, угрозы целостности и угрозы конфиденциальности информации.
1. Угрозами доступности информации являются:
разрушение (уничтожение) информации: вирус, повреждение оборудования, чрезвычайная ситуация (пожар);
отказ поддерживающей инфраструктуры: нарушение работы систем связи, электроэнергии, теплоснабжения, кондиционирования, повреждение помещения.
Мерами предотвращения данных угрозы может являться следующее:
§ Установка программы антивируса.
§ Осуществление резервного копирования данных на съемные носители для быстрого восстановления утерянных данных во время системной ошибки.
§ Установка аварийных источников бесперебойного питания.
§ Подвод электроэнергии не менее от двух независимых линий электропередачи.
§ Плановое обслуживание зданий и в целом всей поддерживающей инфраструктуры.
2. Угрозами целостности информации являются:
нарушение целостности со стороны персонала: ввод неверных данных, несанкционированная модификация информации, кража информации, дублирование данных;
потеря информации на жестких носителях;
угрозы целостности баз данных;
угрозы целостности программных механизмов работы предприятия.
Мерами предотвращения данной угрозы может являться следующее:
§ Введение и частая смена паролей.
§ Использование криптографических средств защиты информации.
3. Угрозами конфиденциальности являются:
кражи оборудования;
делегирование лишних или неиспользуемых полномочий на носитель с конфиденциальной информацией;
открытие портов;
установка нелицензионного ПО;
злоупотребления полномочиями.
Анализ состояния информационной безопасности на предприятии позволяет выявить следующие угрозы:
1. Заражение компьютерными вирусами через съёмные носители информации, компьютерную сеть, сеть Интернет;
2. Ошибки штатных сотрудников, т.е. неверный ввод данных или изменение данных;
3. Внутренний отказ информационной системы, т.е. отказ программного или аппаратного обеспечения, повреждение аппаратуры;
4. Угрозы технического характера;
5. Угрозы нетехнического или некомпьютерного характера - отсутствие паролей, конфиденциальная информация, связанная с информационными системами хранится на бумажных носителях;
6. Несанкционированный доступ к информации (использование ресурсов без предварительно полученного разрешения). При этом могут совершаться следующие действия: несанкционированное чтение информации, несанкционированное изменение информации, а также несанкционированное уничтожение информации;
7. Кража программно-аппаратных средств и т.д.
1.6 Методы и средства защиты информации на предприятииЗащита информации на предприятии осуществляется комплексно и включает в себя меры следующих уровней:
1. Законодательный уровень защиты информации - это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил.
Основными законодательными актами, регулирующими вопросы информационной безопасности предприятия, являются:
§ Гражданский кодекс РФ ст.139;
§ Уголовный кодекс гл.28 ст.272, 273, 274, 138, 183;
§ Закон Российской Федерации "Об информации, информатизации и защите информации";
§ Закон Российской Федерации "О коммерческой тайне".
2. Административный уровень информационной безопасности.
Политика информационной безопасности пока не утверждена.
3. Организационный уровень защиты информации.
Организационные меры являются решающим звеном формирования и реализации комплексной защите информации. Эти меры играют существенную роль в создании надежного механизма защиты информации, т.к. возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, небрежностью пользователей или персонала защиты.
Организационные меры защиты информации на предприятии реализованы следующим образом:
§ Организован контроль, соблюдение временного режима труда и пребывания персонала на территории организации;
§ Организована работа с документами и документированной информацией, т.е. ведется учет, исполнение, возврат, хранение носителей конфиденциальной информации.
В качестве недостатков данного уровня защиты можно указать следующие факты.
Несмотря на то, что предприятие переходит на программу "1С: Предприятие", бухгалтерия предпочитает работать со старыми АРМами, реализованными под MS DOS. Это связано с тем, что персонал за неимением навыков работы и времени не очень желает осваивать новый программный продукт.
Небрежность персонала, выраженная в недостаточном знании правил защиты конфиденциальной информации, непониманием необходимости тщательного их выполнения. Например, многие важные документы лежат на столах свободно, что может привести к их использованию посторонними лицами.
4. Программно-технические меры защиты информации - это совокупность аппаратных и программных средств и мероприятий по их использованию в интересах защиты конфиденциальности информации.
На предприятии осуществляется управление доступом путем деления информации по соответствующим должностям и полномочиям доступа к ней, т.е. спецификация и контроль действий пользователей над информационными ресурсами организации.
Программно-аппаратные средства защиты информации:
1. SHDSL-модем с возможностью работать в режиме маршрутизатора для закрытия сети от проникновения извне.
SHDSL модем ZyXEL предназначен для создания корпоративной сети, в основе которой лежит скоростное двунаправленное соединение по медным проводам. Используется для объединения двух офисов по одной или по двум медным парам в режиме "точка-точка" с организацией симметричного скоростного полнодуплексного соединения. Модем имеет возможность работать в режиме моста или маршрутизатора. Встроена система обнаружения и предотвращения вторжений (Intrusion Detection System - IDS).
2. Антивирусная система ESET NOD 32 для защиты от компьютерных вирусов.
Производится нерегулярное обновление баз и сканирование рабочих станций.
3. Встроенный Windows Backup для создания архивов.
OS Backup Wizard - программа, предназначенная для быстрого создания и восстановления резервной копии Windows. Она позволяет создать копию всей Windows или только отдельных файлов и папок.
4. Шифрование с ключом 2048 бит для канала vpn (подключение к офису управляющей компании для работы почты и документооборота).
Глава 2. Совершенствование СИБ2.1 Недостатки в системе защиты информацииПри анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий - области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно - технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.Современные технологии программирования не позволяют создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения информационной безопасности.Проанализировав информационную безопасность предприятия можно сделать вывод, что информационной безопасности уделяется недостаточное внимание:§ Отсутствие паролей доступа в систему;§ Отсутствие паролей при работе программой с 1С: Предприятие, при изменении данных;§ отсутствует дополнительная защита файлов и информации (отсутствует элементарный запрос пароля при открытии или изменении информации в файлах, не говоря уже о средствах шифрования данных);§ нерегулярное обновление баз программы антивируса и сканирование рабочих станций;§ большое количество документов на бумажных носителях в основном лежат в папках (иногда и без них) на рабочем столе сотрудника, что позволяет злоумышленникам без труда воспользоваться данного рода информациях в своих целях;§ не производится регулярное обсуждение вопросов информационной безопасности на предприятии и возникающих проблем в этой области;§ не организована регулярная проверка работоспособности информационных систем предприятия, отладка производится только лишь в том случае, когда они выходят из строя;§ отсутствие политики информационной безопасности;§ отсутствие системного администратора.
Все вышеперечисленное является очень важными недостатками обеспечения информационной безопасности предприятия.
2.2 Цель и задачи системы информационной безопасностиБезопасность информации - состояние защищенности информационных ресурсов в вычислительных сетях и системах предприятия от несанкционированного доступа, случайного или преднамеренного вмешательства в нормальное функционирование систем, попыток разрушения её компонентов.
Цели защиты информации:
предотвращение угроз безопасности предприятия вследствие несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации или иных форм незаконного вмешательства в информационные ресурсы и информационных системах;
сохранение коммерческой тайны, обрабатываемой с использованием средств вычислительной техники;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах.
Для достижения целей защиты должно обеспечиваться эффективное решение следующих задач:
· защита от вмешательства в процесс функционирования предприятия посторонних лиц;
· защита от несанкционированных действий с информационными ресурсами предприятия посторонних лиц и сотрудников, не имеющих соответствующих полномочий;
· обеспечение полноты, достоверности и оперативности информационной поддержки принятия управленческих решений руководством предприятия;
· обеспечение физической сохранности технических средств и программного обеспечения предприятия и защита их от действия техногенных и стихийных источников угроз;
· регистрация событий, влияющих на безопасность информации, обеспечения полной подконтрольности и подотчетности выполнения всех операций, совершаемых на предприятии;
· своевременное выявление, оценка и прогнозирование источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба интересам субъектов, нарушению нормального функционирования и развития предприятия;
· анализ рисков реализации угроз безопасности информации и оценка возможного ущерба, предотвращение неприемлемых последствий нарушения безопасности информации предприятия, создание условий для минимизации и локализации наносимого ущерба;
· обеспечение возможности восстановления актуального состояния предприятия при нарушении безопасности информации и ликвидации последствий этих нарушений;
· создание и формирование целенаправленной политики безопасности информации предприятия.
2.3 Мероприятия и средства по совершенствованию системы информационной безопасностиДля выполнения поставленных целей и решению задач необходимо провести мероприятия на уровнях информационной безопасности.Административный уровень информационной безопасности.Для формирования системы информационной безопасности необходимо разработать и утвердить политику информационной безопасности.Политика безопасности - это совокупность законов, правил и норм поведения, направленных на защиту информации и ассоциированных с ней ресурсов.Следует отметить, что разрабатываемая политика должна согласовываться с существующими законами и правилами, относящимися к организации, т.е. эти законы и правила необходимо выявлять и принимать во внимание при разработке политики.Чем надежнее система, тем строже и многообразнее должна быть политика безопасности.В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность системы.Организационный уровень защиты информации.Исходя из недостатков, описанных в предыдущем разделе, можно предложить следующие мероприятия по улучшению защиты информации:§ Организация работ по обучению персонала навыкам работы с новыми программными продуктами при участии квалифицированных специалистов;§ Разработка необходимых мероприятий направленных на совершенствовании системы экономической, социальной и информационной безопасности предприятия.§ Провести инструктаж для того, чтобы каждый сотрудник осознал всю важность и конфиденциальность вверенной ему информации, т.к., как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимания (или недопонимания) необходимости их тщательного соблюдения.
§ Строгий контроль соблюдения сотрудниками правил работы с конфиденциальной информацией;
§ Контроль соблюдения правил хранения рабочей документации сотрудников предприятия;
§ Плановое проведение собраний, семинаров, обсуждений по вопросам информационной безопасности предприятия;
§ Регулярная (плановая) проверка и обслуживание всех информационных систем и информационной инфраструктуры на работоспособность.
§ Назначить системного администратора на постоянной основе.
Программно-технические меры защиты информации.
Программно-технические средства являются одними из важнейших компонентов в реализации информационной защите предприятия, поэтому для повышения уровня защиты информации необходимо ввести и применить следующие мероприятия:
§ Введение паролей пользователей;
Для регулирования доступа пользователей к информационным ресурсам предприятия необходимо ввести список пользователей, которые будут входить в систему под своим логином. С помощью ОС Windows Server 2003 Std, установленной на сервере, можно создать список пользователей с соответствующими паролями. Пароли раздать работникам с соответствующим инструктажем их использования. Также необходимо ввести срок действия пароля, по истечению которого пользователю будет предложено поменять пароль. Ограничить число попыток входа в систему с неверным паролем (например, до трех).
§ Введение запроса паролей в программе 1С: Предприятии при работе с БД, при изменении данных. Это можно выполнить с помощью программных средств ПК и программы.
§ Разграничение доступа к файлам, каталогам, дискам.
Разграничение доступа к файлам и каталогам будет осуществляться системным администратором, который разрешит доступ к соответствующим дискам, папкам и файлам для каждого пользователя конкретно.
§ Регулярное сканирование рабочих станций и обновление баз антивирусной программы.
Позволит обнаруживать и нейтрализовать вредоносные программы, ликвидировать причины заражений. Необходимо выполнить работы по установке, настройке и обеспечению функционирования средств и систем антивирусной защиты.
Для этого необходимо настроить программу антивируса на регулярное сканирование ПК и регулярное обновление баз с сервера.
§ Установка на компьютер-сервер сетевого экрана Agnitum Outpost FireWall, который блокирует атаки из сети Интернет.
Преимущества использования сетевого экрана Agnitum Outpost FireWall:
ѕ контролирует соединения компьютера с другими, блокируя хакеров и предотвращая несанкционированный внешний и внутренний доступ к сети.
ѕ локальная безопасность отслеживает поведение программ и их взаимодействие для обеспечения проактивной защиты от несанкционированной активности, блокируя троянцев, шпионские программы и все изощренные хакерские методики взлома компьютеров и кражи личных данных.
ѕ эффективный сканер вредоносных программ автоматически обнаруживает и изолирует или удаляет вирусы, шпионские программы и другое вредоносное ПО.
ѕ встроенный антиспам.
§ Анализ защищенности объектов вычислительной сети
Возможно использование программы "Сканер-ВС", предназначенной для анализа защищенности вычислительных сетей от внутренних и внешних угроз.
"Сканер-ВС" выполняет следующие функции:
Анализ защищенности сети или отдельных ее сегментов от различных внешних и внутренних угроз
Аудит защищенности сети
Инвентаризация сетевых ресурсов - сбор информации об отдельных узлах сети (зарегистрированные пользователи, рабочая группа/домен, IP-адрес, сервисы и многое другое)
Максимальное снижение вероятности успешной атаки на защищаемые объекты
Тестирование сети на устойчивость к взлому с учетом выявленных и устраненных уязвимостей
Основные возможности системы:
ѕ обеспечение загрузки доверенной среды на основе ОС МСВС
ѕ автоматическое определение сетевого оборудования, подключенного к вычислительной сети
ѕ поиск остаточной информации на накопителях, подключенных к узлам сети (поддерживаются различные кодировки)
ѕ сетевой и локальный аудит паролей
ѕ инвентаризация ресурсов компьютерной сети (узлов, портов, сервисов)
ѕ поиск уязвимостей обнаруженных сервисов, проверка возможности осуществления типовых DoS-атак
ѕ анализ сетевого трафика (в т. ч. в коммутируемых сетях), извлечение из трафика парольной информации для множества протоколов
§ Программа защиты от спама.
Обеспечение защиты от спама пользователей и технической поддержке средств, осуществляющих данную защиту. Защита осуществляется путем маркировки нежелательных почтовых сообщений приходящих на почтовый ящик пользователя.
Возможно использование программы antispam СПАМОЕД, программа позволяющая блокировать спам на компьютере. Spamoed - это ПО для борьбы со спамом, обеспечивающее фильтрацию почты. Основные принципы работы программы заключается в том, что программа Spamoed может как сама удалять ненужную пользователю электронную почту, так и вкупе с TheBat, Outlook и другими почтовыми клиентами; а также работать совместно с небольшими (до 50 почтовых ящиков) почтовыми серверами.
§ Применение источников бесперебойного питания;
Наиболее надежным средством предотвращения потерь информации при кратковременном отключении электроэнергии в настоящее время является установка источников бесперебойного питания (UPS). Различные по своим техническим и потребительским характеристикам, подобные устройства могут обеспечить питание всей локальной сети или отдельного компьютера в течение какого-то промежутка времени, достаточного для восстановления подачи напряжения или для сохранения информации на магнитные носители. В противном случае используется следующая функция подобных устройств - компьютер получает сигнал, что UPS перешел на работу от собственных аккумуляторов и время такой автономной работы ограничено. Тогда компьютер выполняет действия по корректному завершению всех выполняющихся программ и отключается (команда SHUTDOWN). Большинство источников бесперебойного питания одновременно выполняет функции и стабилизатора напряжения, является дополнительной защитой от скачков напряжения в сети. Многие современные сетевые устройства - серверы, концентраторы, мосты и т.д. - оснащены собственными дублированными системами электропитания.
§ Криптографическое преобразование информации.
Криптографическая защита информации предоставляется с целью обеспечения режима конфиденциальности и целостности информации при ее передачи по каналам передачи данных.
Помогите выбрать конкретное программное средство!!!!!!!!!!!! Ну надо шифрование какое-либо применять или необязательно - запуталась я, ваще запуталась…вот в этом главный вопрос!)
§ Протоколирование и аудит.
Протоколирование и аудит является неотъемлемой частью обеспечения информационной безопасности. Эти понятия подразумевают сбор, накопление и анализ событий происходящих в информационной системе в реальном времени.
Реализация протоколирования и аудита решает следующие задачи:
· обеспечение подотчетности пользователей и администраторов;
· обеспечение возможности реконструкции последовательности событий;
· обнаружение попыток нарушений информационной безопасности;
· предоставление информации для выявления и анализа проблем.
При протоколировании события рекомендуется записывать, по крайней мере, следующую информацию:
ѕ дата и время события;
ѕ уникальный идентификатор пользователя - инициатора действия;
ѕ тип события;
ѕ результат действия (успех или неудача);
ѕ источник запроса (например, имя терминала);
ѕ имена затронутых объектов (например, открываемых или удаляемых файлов);
ѕ описание изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта).
2.4 Эффективность предложенных мероприятийЭффективность системы ИБ и труда администраторов средств информационной безопасности будет чрезвычайно низкой при отсутствии средств сбора, анализа, хранения информации о состоянии системы ИБ, централизованного управления всеми ее составляющими. Дело в том, что каждое средство защиты реализует некоторую составляющую политики безопасности, которая на уровне подсистем задается набором параметров и требований. Политике ИБ должны соответствовать не только каждая подсистема или средство защиты, но и система ИБ в целом. Отслеживание работоспособности компонентов системы, примененных правил и других событий в системе ИБ требует наличия средств мониторинга и управления. Для проведения анализа собираемых данных, построения отчетов и принятия управляющих решений необходимы средства мониторинга, аудита и генерации отчетов.
В рамках курсового проекта была проанализирована информационная безопасность предприятия, были предложены мероприятия по ее улучшению. Реализация мероприятий позволит:
§ Разграничить права доступа в систему.
§ Повысить уровень защищенности информации каждого пользователя в отдельности и системы в целом.
§ Разработать и внедрить политику информационной безопасности, которая будет направлена на защиту информации и ассоциированных с ней ресурсов.
§ Уменьшить количество спама.
§ Отражать вредоносные атаки через сеть.
§ Повысить уровень защиты рабочих станций.
Глава 3. Модель информационной системы с позиции безопасностиМодель информационной безопасности предприятия представлена на рисунке 3.1.Рисунок 3.1 - Диаграмма уровня А-0 "Обеспечение информационной безопасности"Информация, поступающая на предприятие проходит несколько стадий обработки на наличие программных, сетевых и физических угроз безопасности, прежде чем поступит в использование сотрудниками организации. За безопасностью следит главным образом системный администратор, который настраивает все программные и аппаратные средства для защиты предприятия. Все это регламентируется регламентом предприятия, политикой безопасности и должностными инструкциями. В результате сотрудники получают безопасную информацию, также формируется отчет о событиях обработки.Декомпозиция блока "Обеспечение информационной безопасности" представлена анна рисунке 3.2.Рисунок 3.2 - Декомпозиция диаграммы уровня А-0"Обеспечение информационной безопасности"Поступающая информация проходит стадию анализа, где выявляются угрозы, которые она может нанести, далее применяются средства для устранения этих угроз и происходит распределение информации по уровням защиты (административный, программно-технический, законодательный, организационный). Далее применяются средства для дальнейшей защиты информации. Все это в соответствии с нормативными и правовыми актами, действующими на предприятии.DFD-диаграмма представлена на рисунке 3.3.Рисунок 3.3 - Диаграмма DFD уровня А-1 "Анализ информации"На данной диаграмме представлен процесс работы пользователя и системы.ЗаключениеВ процессе выполнения курсового проекта был проведен анализ средств информационной безопасности предприятия ООО "Нива", информационных ресурсов предприятия, анализ угроз ИБ, и были выявлены соответствующие недостатки.В соответствии с выявленными недостатками были предложены меры их устранения, в результате выполнения которых предприятие позволит повысить эффективность средств защиты и сократит риск потери и искажения информации. Следует обратить внимание на то, что только при совместном взаимодействии персонала, программно-аппаратных средств и средств защиты информации возможна эффективность данных мероприятий.Обследуемое предприятие ООО "Нива" циркулирует большим количеством информации конфиденциального характера, доступ к которой необходимо ограничить. Поэтому, целью являлась разработка такой системы по защите информации, при которой угрозы утечки конфиденциальной информации были бы минимальны.В результате анализа была построена модель информационной системы с позиции безопасности.В заключение хотелось бы подчеркнуть, что никакие аппаратные, программные и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в компьютерных сетях. В то же время свести риск потерь к минимуму возможно лишь при комплексном подходе к вопросам безопасности.
Список использованной литературы1. Галатенко, В.А. Основы информационной безопасности. - М.: Интуит, 2003.
2. Доктрина информационной безопасности от 09.09.2000 г.
3. Завгородний, В.И. Комплексная защита информации в компьютерных системах. - М.: Логос, 2001.
4. Зегжда, Д.П., Ивашко, А.М. Основы безопасности информационных систем. - М.: Интуит, 2006.
5. Стандарты информационной безопасности.
6. Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
7. http://ru. wikipedia.org/wiki/
8. http://z-oleg.com/
9. http://www.infosecurity.ru/
Приложение
Организационная структура ООО "Нива"