Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

КУРСОВОЙ ПРОЕКТ

По дисциплине Информационная безопасность

На тему

«Совершенствование системы информационной безопасности на предприятии ЗАО КФ «Линия звезд»

Введение

Тема разработки политики информационной безопасности на предприятиях, фирмах и организациях очень актуальна в современном мире. Информационная безопасность (на уровне предприятий и организаций) - это защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести недопустимый ущерб субъектам информационных отношений.

На данном этапе развития технического прогресса трудно представить себе серьёзное предприятие, функционирующие без использования информационных ресурсов в своей деятельности. Исключением не стало и ЗАО КФ «Линия звезд». В ЗАО КФ «Линия звезд» действует современная локальная вычислительная сеть и установлено необходимое программное обеспечение, а также существует выход в Internet. При существовании такого количества информационных ресурсов, необходимо и наличие политики информационной безопасности. На данном предприятии необходимо совершенствовать политику информационной безопасности для минимизации угроз информационной безопасности, что и является целью для данного курсового проекта. Угроза информационной безопасности - это реальное или потенциальное действие, направленное на нарушения информационной безопасности, приводящие к материальному и моральному ущербу.

Глава 1 Анализ информационной безопасности ООО ЗАО КФ «Линия звезд»

1.1 Общие сведения об организации

ЗАО Консалтинговая фирма «Линия Звезд» - динамично развивающаяся компания, аккумулирующая в себе богатый опыт многолетней практики в области консалтинга и аудита специалистов работающих в ней.

Фирма имеет статус 1С:Франчайзи. Профильным направлением фирмы является постановка и автоматизация бухгалтерского и налогового учета, а также консультационные услуги в данной области. Специалисты фирмы имеют опыт комплексного подхода к автоматизации, то есть автоматизации всех участков учета.

Высокое качество предоставляемых услуг обеспечивается более чем пятилетним опытом работы руководителей проектов приобретенным в аудиторских фирмах и подтверждается наличием у сотрудников квалификационных аттестатов аудитора, сертификатов 1С:Профессионал по версии 7.7 и 8.0. У программистов имеются сертификаты по программному продукту. Все сотрудники мобильны и полностью обеспечены необходимым для работы оборудованием, в том числе портативными компьютерами.

Одним из преимуществ, как динамично развивающейся фирмы, является гибкий подход к специфике работы и пожеланиям клиентов. Специалисты фирмы в состоянии выполнять работы практически любого объема и сложности. Разносторонний опыт работы и профессионализм сотрудников позволяет гарантировать выполнение любых задач в договорной срок.

Одним из профильных направлений деятельности является автоматизация бухгалтерского и налогового учета. Специалисты имеют опыт комплексного подхода к автоматизации, то есть автоматизации всех участков учета.

Высокое качество услуг обеспечивается приобретенным руководителями проектов опытом работы в аудиторских фирмах. Подтверждается наличием у сотрудников квалификационных аттестатов аудитора, сертификатов 1С:Профессионал и 1С:Специалист.

Местонахождение ЗАО Консалтинговая фирма «Линия звезд» Россия, 614010 г. Пермь, ул. Клары Цеткин, д.14, оф.201.

Организационно-штатная структура ЗАО Консалтинговой фирмы «Линия звезд» приведена на рисунке 1.

Рисунок 1 - Организационная структура ЗАО КФ «Линия Звезд»

Исходя из организационной структуры на предприятии видно, что формально не существует службы, занимающейся защитой информационных ресурсов.

1.2 Анализ и характеристика информационных ресурсов предприятия

Начнем анализ информационных ресурсов с общедоступной информации.

Согласно ФЗ «Об информации, информационных технологиях и о защите информации», к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. [1]

В ЗАО КФ «Линия звезд» общедоступная информация представлена на сайте компании или может быть предоставлена менеджерами кампании. К такой информации относится:

· сведения, содержащиеся в уставе организации и свидетельство 1С Франчайзи

· Финансовая отчетность;

· Состав руководства и т.д.;

· Информация о наградах и тендерах кампании;

· Информация о вакансиях и сведения о численности и составе работников, об условиях их труда, о системе оплаты труда;

· Контактные данные менеджеров кампании;

В организации также имеются сведения, на использование и распространение которых введены ограничения их собственником, т.е. организацией. Такая информация называется защищаемой. К ней можно отнести сведения, касающиеся личной жизни работников организации.

Следующий тип информации - это информация, представляющая коммерческую тайну. Итак, согласно ФЗ «Об информации, информационных технологиях и о защите информации», информация, составляющая коммерческую тайну (секрет производства), - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании, в отношении которых обладателем таких сведений введен режим коммерческой тайны (п. 2 в ред. Федерального закона от 18.12.2006 N 231-ФЗ)

К коммерческой тайне в ЗАО КФ «Линия звезд» относится следующая информация:

· Информация о личности работников, домашних адресов.

· Информация о клиентах, их контактные и личные данные.

· Информация о проектах, сроках и условиях договоров.

К информационным ресурсам фирмы относится конфигурация «1С:Управление торговлей 8.1», документы и акты на бумажных носителях, локальная вычислительная сеть. Степень секретности для данных ресурсов не определена, так как они не применяются в данной организации..

1.3 Угрозы информационной безопасности, характерные для данного предприятия

Под угрозой информационной безопасности понимается потенциальная возможность нарушения основных качеств или свойств информации - доступности, целостности и конфиденциальности. Основным типом угрозы информационной безопасности для данной фирмы можно считать несанкционированный доступ к информации, относящейся к коммерческой тайне.

В сложившихся условиях предприятие ЗАО КФ «Линия звезд» может быть подвержено таким информационным угрозам, таким как

· Взлому баз данных или несанкционированное использование коммерческой информации в целях передачи данных конкурентам предприятия, что может отрицательно сказаться на деятельности предприятия и в крайнем случае привести к его разорению, ликвидации.

· Следующей информационной угрозой является разглашение сотрудниками конфиденциальной информации, использование ее в корыстных целях для получения прибыли, т.к. многие служащие имеют доступ к базе данных 1С Управление торговлей.

· Сотрудники предприятия могут умышленно или случайно повлиять на распространение информации, например по электронной почте, ICQ и по другим цифровым средствам связи, что негативно может сказаться на репутации предприятия, поскольку они имеют доступ к сведениям организации.

· Одной из самых распространенных угроз информационной безопасности являются сбои и отказы программного обеспечения, технических средств фирмы, поскольку оборудование зачастую даже самое новое дает сбои, также предприятию могут поставить технически некачественное оборудование.

· На ЗАО КФ «Линия звезд» может возникнуть ситуация несанкционированного физического доступа к техническим средствам, являющимися источникам информации, также кража носителя с важной информацией (флешка, оптические диски и т.д.) или только данных. По сути, это хищение интеллектуальной собственности через сеть или физическое хищение носителей.

· Одной из немало важных информационных угроз являются ошибки персонала организации. Упущения в работе менеджеров, недобросовестное выполнение своих обязанностей консультантами может привести к нарушению целостности информации, а также могут возникнуть конфликтные ситуации с клиентами.

· К угрозам программного обеспечения можно отнести различное вредоносное ПО, потеря паролей, незащищенность используемого ПО, а также отсутствие системы резервного копирования.

1.4 Меры, методы и средства защиты информации, применяемые на предприятии

Законодательный уровень защиты представляет собой совокупность законодательных актов в области информации и информационных технологий. К этому уровню относятся: Конституция РФ, Гражданский кодекс РФ, Уголовный кодекс РФ, ФЗ «Об информации, информационных технологиях и защите информации» и др.

Административный уровень защиты информации отражается в программе ИБ. Основой программы является политика ИБ - изданный документ (свод документов), который принимается руководством организации и направлен на защиту информационных ресурсов данной организации. В данной организации политика информационной безопасности не разработана и этот уровень защиты информации не представлен.

К используемым мерам процедурного уровня по защите информации в ЗАО КФ «Линия звезд» можно отнести то, что в здании находится два пункта охраны и установлена сигнализация. Так же заключён договор на охрану помещений с вневедомственной охраной.

На программно-аппаратном уровне по защите информации применяются следующие меры:

· Использование антивирусной программы на всех компьютерах (Антивирус NOD 32)

· Использование встроенных средств Windows для авторизации пользователя компьютера.

· Использование специальных логин/паролей для авторизации в базе 1С Управление торговлей.

2 Совершенствование системы информационной безопасности

2.1 Выявленные недостатки в системе защиты информации

Некоторые из угроз информационной безопасности, такие как несанкционированное получение доступа извне, некорректная работа программного обеспечения или технические сбои, достаточно успешно нейтрализуются грамотной настройкой и администрированием сети, однако полноценно-гарантированных успешных мер для предотвращения внутренних угроз не существует.

В процессе анализа существующей системы информационной безопасности в ЗАО КФ «Линия звезд» были выделены следующие недостатки:

· Не полное использование функциональных возможностей 1С. Не полностью разграничены права доступа к данным в базе, а так же пароли не отвечают требованиям сложности или у некоторых сотрудников просто не используются.

· Отсутствие приложений отслеживающих сетевой трафик и доступ приложений к сети (Firewall). Функции встроенного в Windows XP брандмауэра Windows зачастую не соответствуют требованиям информационной безопасности.

· Использование стандартного логина и пароля для доступа к ADSL-Роутеру, что может привести к краже учетной записи и пароля для доступа к интернету и в дальнейшем смене пароля. Причем это может сделать не, только сотрудник организации, но и любой пользователь интернета.

· Отсутствуют ограничения по форматам и размерам передаваемых данных через интернет (*.mp3,*.avi,*.rar) для определенных сотрудников.

· Некоторые сотрудники хранят конфиденциальную информацию в общедоступных папках просто из-за собственной невнимательности, а так же хранят логин/пароль от информационных систем требующих авторизации приклеенными к монитору.

· Практически не охраняется информация на бумажных носителях, за исключением наиболее важной.

· Не систематизировано резервное копирование и архивирование важной для деятельности предприятия информации (базы 1С).

Предлагаемые меры для устранения этих недостатков будут приведены ниже.

2.2 Обоснование цели и задач формирования системы ИБ на предприятии

Таким образом, исходя из выявленных недостатков, можно сделать вывод, что существует действительно высокая потребность совершенствования существующей системы информационной безопасности. Так же необходимо тщательно оберегать клиентскую базу кампании, поскольку это очень важная информация, которая не подлежит разглашению среди посторонних людей.

Сотрудники кампании зачастую не осознают, что от должной организации целостности баз данных и документов, поддержание их в упорядоченном виде напрямую зависит скорость деятельности фирмы и, следовательно, ее конкурентоспособность, а значит уровень их заработной платы.

Самую большую угрозу для функциональности электронной бухгалтерии представляют различные вирусы, попадающие на компьютеры в сети через интернет, а так же возможность доступа в электронные справочники и документы посторонних лиц.

2.3 Предлагаемые мероприятия по совершенствованию системы защиты информации на законодательном, административном, процедурном и программно-аппаратном уровнях

Для устранения выявленных недостатков в системе информационной безопасности ЗАО КФ «Линия звезд» предлагается ввести следующие меры:

На законодательном уровне никаких изменений по введению новых мер по обеспечению информационной безопасности не намечено. [3]

Необходимо ввести меры административного уровня в политике безопасности фирмы. На административном уровне предлагается:

· Создать ряд инструкций по информационной безопасности внутри фирмы для отдельных категорий работников.

· Предусмотреть ряд мотивационных мероприятий для заинтересованности сотрудников в соблюдении политики безопасности, а так же наказания за грубое нарушение политики безопасности фирмы.

Для совершенствования системы безопасности на процедурном уровне предлагается следующий ряд мер:

· Ограничить доступ посторонних людей в некоторые отделы фирмы.

· Провести ряд консультационных мероприятий с сотрудниками организации по вопросам информационной безопасности и инструкциям по соблюдению политики безопасности.

На программно-аппаратном уровне предлагается ввести следующие меры:

· Обязать всех сотрудников использовать пароли для доступа к базе 1С и более тщательно разграничить доступ к определенным данным базы (справочникам, документам и отчетам) всех сотрудников.

· Рекомендуется установить приложения защиты Firewall, которые имеют отличную функциональность. Предлагается установить Agnitum Outpost Firewall Pro на все компьютеры, также как антивирус.

· Необходимо изменить все стандартные логины и пароли для доступа к ADSL-Роутеру, необходимо чтоб пароли соответствовали уровню сложности.

· Ввести ограничения на передаваемые через интернет форматы и размеры файлов отдельным сотрудникам, посредством тщательной настройки Agnitum Outpost Firewall Pro.

· Ввести обязательное резервное копирование и архивацию базы 1С с помощью специальных программ резервирования, которые будут по расписанию выполнять эту процедуру.

Таким образом, мы определились с изменениями в существующей системе информационной безопасности ЗАО КФ «Линия звезд». Среди этих изменений ключевым является работа с персоналом, поскольку какие бы совершенные программные средства защиты информации не внедрялись, тем не менее, всю работу с ними осуществляет персонал и основные сбои в системе безопасности организации вызываются, как правило, персоналом. Правильно мотивированный персонал, нацеленный на результат деятельности - это уже половина того, что необходимо для эффективной деятельности любой системы.

2.4 Эффективность предложенных мероприятий

Самым главным преимуществом обновленной системы безопасности на предприятии ЗАО КФ «Линия звезд» являются изменения в отношении персонала. Большинство проблем в существовавшей системе безопасности вызывалось именно персоналом.

Так же огромные плюсы даст внедрение файервола Agnitum Outpost Firewall Pro. Предлагаемый к внедрению файервол имеет значительный функционал для обеспечения необходимой безопасности.

Преимущества использования сетевого экрана Agnitum Outpost FireWall:

· Отмеченный наградами продукт контролирует соединения вашего компьютера с другими, блокируя атаки хакеров и предотвращая несанкционированный внешний и внутренний доступ к сети. Контролируя входящий и исходящий трафик приложений, он останавливает попытки вредоносного ПО передать данные с вашего компьютера или на него.

· Локальная безопасность отслеживает поведение программ и их взаимодействие для обеспечения проактивной защиты от несанкционированной активности, блокируя троянцев, шпионские программы и все изощренные хакерские методики взлома компьютеров и кражи личных данных.

Ограничение типов и объемов, передаваемых и принимаемых через интернет сотрудниками файлов, во-первых, ограничит утечку какой-либо важной для организации информации, а во-вторых, снизит нагрузку на сеть интернет, поскольку каналы передачи данных не будут заняты передачей посторонней информации.

Качественная антивирусная и сетевая защита позволит избежать нарушений в работе компьютеров, особенно это важно для рабочих мест менеджеров и консультантов. Такие улучшения коснутся надежности работы кампании как делового партнера для многих заказчиков, что благотворно повлияет на имидж кампании, а так же на ее доходы. Автоматическое резервное копирование информации позволит обеспечить ее целостность и сохранность, а архивирование обеспечит возможность быстрого восстановления ее в необходимых ситуациях.

информационная безопасность угроза предприятие

3 Модель информационной системы с позиции безопасности для предприятия ЗАО КФ «Линия звезд»

Модель информационной безопасности фирмы представлена на рисунках 2 и 3

Рисунок 2 - Модель информационной безопасности

Рисунок 3 - Декомпозированная модель информационной безопасности

Заключение

В процессе выполнения курсового проекта был проведен анализ средств информационной безопасности предприятия ЗАО КФ «Линия звезд». Был произведен анализ информационных ресурсов предприятия, анализ угроз ИБ, и были выявлены соответствующие недостатки.

Выполнение предложенных мер по устранению недостатков позволит предприятию повысить эффективность средств защиты и сократить риск потери информации. Следует отметить, что процесс организации или реорганизации информационной безопасности это комплексный процесс, в котором взаимодействуют одновременно программы, персонал и техника.

Для решения проблемы обеспечения информационной безопасности необходимо применение законодательных, организационных и программно технических мер, что позволит полностью ликвидировать ее.

Список использованной литературы

1. Федеральный закон №231-Ф «Об информации, информационных технологиях и о защите информации» от 18.12.2006.

2. Доктрина информационной безопасности от 09.09.2000 г

3. Мельников, В.В. Безопасность информации в автоматизированных системах

4. Митник, К., Саймон, В. «Искусство обмана» Компания АйТи 2004 - 125 с

Размещено на Allbest.ru