Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

КУРСОВОЙ ПРОЕКТ

По дисциплине «Информационная безопасность»

На тему

«Совершенствование системы информационной безопасности на

предприятии ООО «Овен»

Введение

Говоря об информационной безопасности, в настоящее время имеют в виду, собственно говоря, безопасность компьютерную. Действительно, информация, находящаяся на электронных носителях играет все большую роль в жизни современного общества. Уязвимость такой информации обусловлена целым рядом факторов: огромные объемы, многоточечность и возможная анонимность доступа, возможность "информационных диверсий"... Все это делает задачу обеспечения защищенности информации, размещенной в компьютерной среде, гораздо более сложной проблемой, чем, скажем, сохранение тайны традиционной почтовой переписки.

Если говорить о безопасности информации, сохраняющейся на традиционных носителях (бумага, фотоотпечатки и т.п.), то ее сохранность достигается соблюдением мер физической защиты (т.е. защиты от несанкционированного проникновения в зону хранения носителей). Другие аспекты защиты такой информации связаны со стихийными бедствиями и техногенными катастрофами. Таким образом, понятие "компьютерной" информационной безопасности в целом является более широким по сравнению с информационной безопасностью относительно "традиционных" носителей.

Если говорить о различиях в подходах к решению проблемы информационной безопасности на различных уровнях (государственном, региональном, уровне одной организации), то такие различия просто не существуют. Подход к обеспечению безопасности Государственной автоматизированной системы "Выборы" не отличается от подхода к обеспечению безопасности локальной сети в маленькой фирме. Поэтому принципы обеспечения информационной безопасности в данной работе рассматриваются на примерах деятельности отдельной организации.

Целью курсового проекта является совершенствование системы информационной безопасности ООО «Овен». Задачами курсовой работы будут - анализ ООО «Овен», его ресурсов, структуры и существующей системы информационной безопасности на предприятии и поиск методы по ее улучшению.

На первом этапе будет проводиться анализ системы защиты информации. Из полученных результатов на втором этапе будет проводиться поиск методов по улучшению защиты информации, если будут существовать слабые стороны в данной системе.

1. Анализ системы информационной безопасности на ООО «Овен»

1.1 Характеристика предприятия. Организационно-штатная структура предприятия. Служба, занимающаяся информационными ресурсами и их защитой

Полное фирменное название предприятия - Общество с ограниченной ответственностью «Овен». Сокращенное наименование Общества - ООО «Овен». Далее по тексту Общество. Общество не имеет филиалов и представительств, единственный его центр расположен в Пермском крае, Суксунском районе, д. Мартьяново.

Общество было образовано в 1990 году как небольшое фермерское хозяйство и имело трех учредителей. После реорганизации фермерского хозяйства в крестьянское хозяйство в 1998 остался единственный учредитель. Последний раз реорганизация была в апреле 2004 года. С 1 апреля предприятие стало именоваться обществом с ограниченной ответственностью «Овен».

Основное направление деятельности общества - выращивание сельскохозяйственной продукции, семенного материала, реализация сельхоз продукции. Сегодня в России общество занимает тринадцатое место среди картофелеводческих хозяйств и первое в Пермском крае.

Юридический адрес: Россия, 617553, Пермский край, Суксунский, д. Мартьяново.

Цели предприятия в целом:

· Получение прибыли основной деятельности.

· Повышение конкурентоспособности продукции и расширение рынков сбыта.

· Концентрация капитала и наращивание инвестиционных ресурсов для реализации инвестиционных и иных проектов.

Миссия предприятия общества:

1. Продолжать занимать лидирующие позиции на рынке.

2. Создание семеноводческого хозяйства.

Организационная структура предприятия.

На предприятии используется линейно-функциональная структур. В линейно-функциональной структуре формируется иерархия служб. В этой структуре руководители функциональных подразделений имеют право отдавать распоряжения на следующую ступень управления по функциональным вопросам.

Структура предприятия представлена на рисунке 1.

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 1 - Организационная структура ООО «Овен»

1.2 Анализ и характеристика информационных ресурсов предприятия

Сегодня все озабочены безопасностью корпоративной информации. Все большую популярность приобретают отдельные программы и целые комплексы, предназначенные для защиты данных. Однако никто не задумывается над тем, что можно иметь сколько угодно надежную защиту, но все равно потерять важную информацию. Потому, что кто-то из ваших сотрудников сочтет ее незначащей и выставит на всеобщее обозрение. И если вы уверены, что защищены от этого, то сильно заблуждаетесь. На первый взгляд подобная ситуация выглядит чем-то нереальным, похожим на анекдот. Однако такое действительно случается, причем случается часто. И действительно, технический персонал, который в подавляющем большинстве случаев и занимается проблемами безопасности информации, не всегда понимает, какие данные нужно прятать, а какие нет. Для того, чтобы понять нужно разбить всю информацию на разные типы, которые принято называть типами, и четко определить границы между ними.

Собственно говоря, все компании, специализирующиеся на поставке комплексных систем обеспечения безопасности компьютерной информации, учитывают деление данных по различным типам. Вот только тут надо быть осторожным. Дело в том, что западные продукты следуют международным стандартам (в частности, ISO 17799 и некоторым другим). Согласно им все данные делятся по трем типам: открытые, конфиденциальные и строго конфиденциальные. Между тем в нашей стране согласно действующему законодательству используется несколько иное разграничение: открытая информация, для внутреннего использования и конфиденциальная.

Под открытой подразумевается любая информация, которая может свободно передаваться другим лицам, а также размещаться в средствах массовой информации. Чаще всего она представляется в виде пресс-релизов, выступлений на конференциях, презентациях и выставках, отдельных (естественно, положительных) элементов статистики. Помимо этого, к данному грифу относятся все данные, полученные из открытых внешних источников. Ну и, естественно, информация, предназначенная для корпоративного веб-сайта, тоже считается публичной.

На первый взгляд кажется, что открытая информация не нуждается в защите. Однако люди забывают, что данные можно не только похитить, но и подменить. А поэтому сохранение целостности открытой информации - очень важная задача. Иначе вместо заранее подготовленного пресс-релиза может получиться непонятно что. Или главная страница корпоративного сайта будет подменена оскорбительными надписями. Так что открытая информация тоже нуждается в защите.

Как и любое другое предприятие, общество имеет открытую информацию, содержащуюся в основном в презентациях демонстрируемых возможным инвесторам.

К информация для внутреннего использования относятся любые данные, которые используются сотрудниками для осуществления своих профессиональных обязанностей. Но это еще не все. К этой категории относится вся информация, которой обмениваются между собой различные подразделения или филиалы для обеспечения своей работоспособности. И, наконец, последний тип данных, попадающих под эту категорию данных, - информация, полученная из открытых источников и подвергнутая обработке (структурированию, редактированию, внесению пояснений).

Фактически вся эта информация, даже попав в руки конкурентов или злоумышленников, не может нанести серьезного вреда компании. Однако некоторый ущерб от ее похищения все-таки может быть. Допустим, сотрудники собрали для своего начальника новости по интересующей его теме, среди которых выбрали самые важные сообщения и пометили их. Такой дайджест явно является информацией для внутреннего использования (информация получена из открытых источников и подвергнута обработке). На первый взгляд кажется, что конкуренты, заполучив его, не смогут извлечь из него пользы. Но на самом деле они могут догадаться, какое направление деятельности интересует руководство вашей компании, и, кто знает, может быть, у них даже получится опередить вас. А поэтому информация для внутреннего использования должна быть защищена не только от подмены, но и от несанкционированного доступа. Правда, в подавляющем большинстве случаев можно ограничиться безопасностью локальной сети, потому что тратить крупные суммы на это экономически невыгодно.

На предприятии представлен и этот вид информации, которая содержится в различного рода отчетах, списках, выписках и т.п.

Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, не являющаяся общедоступной и в случае разглашения способная нанести ущерб правам и охраняемым законом интересам предоставившего ее лица. Перечень данных, относящихся к этому грифу, устанавливается государством. На данный момент он таков: персональная информация, информация, составляющая коммерческую, служебную или профессиональную тайну, сведения, являющиеся тайной следствия и делопроизводства. Кроме того, в последнее время к конфиденциальным стали относить данные о сущности изобретения или научного открытия до их официального опубликования.

К конфиденциальной информации на предприятии можно отнести такие данные как: план развития, научно-исследовательские работы, техническая документация, чертежи, распределение прибыли, договора, отчеты, ресурсы, партнеры, переговоры, контракты, а также информация управленческого и планового характера.

На предприятии имеется порядка двадцати ПК. Что же касается наличия локальной сети на предприятии, то ПК в обществе не объединены в единую сеть. Кроме того, все компьютеры оснащены стандартным набором офисных программ и бухгалтерских программ. Три компьютера имеют выход в Интернет через Минипорт WAN. При этом ни один компьютер на предприятии не оснащен антивирусной программой. Обмен информацией осуществляется посредством носителей: флешек, дискет. Вся информация на «традиционных» носителях расположена в шкафах, которые не запираются. Наиболее важные документы располагаются в сейфе, ключи от которого хранятся у секретаря.

информация защита безопасность

1.3 Угрозы и средства защиты информации на предприятии

Угроза безопасности информации - совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее

По способам воздействия на объекты информационной безопасности угрозы, актуальные для общества, подлежат следующей классификации: информационные, программные, физические, организационно-правовые.

К информационным угрозам относятся:

· несанкционированный доступ к информационным ресурсам;

· хищение информации из архивов и баз данных;

· нарушение технологии обработки информации;

· противозаконный сбор и использование информации;

К программным угрозам относятся:

· компьютерные вирусы и вредоносные программы;

К физическим угрозам относятся:

· уничтожение или разрушение средств обработки информации и связи;

· хищение носителей информации;

· воздействие на персонал;

К организационно-правовым угрозам относятся:

· закупки несовершенных или устаревших информационных технологий и средств информатизации;

Средства защиты информации -- это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.

Рассмотрим средства защиты информации, применяемые на предприятии. Всего их существует четыре (аппаратные, программные, смешанные, организационные).

Аппаратные средства защиты - замки, решетки на окнах, защитная сигнализация, сетевые фильтры, камеры видеонаблюдения.

Программные средства защиты: используются средства операционной системы, такие как защита, паролем, учетные записи.

Организационные средства защиты: подготовка помещений с компьютерами.

2 Совершенствование системы информационной безопасности

2.1 Выявленные недостатки в системе защиты информации

Самым уязвимым местом в защите информации в обществе является защита компьютерной безопасности. В ходе даже поверхностного анализа на предприятии можно выделить следующие недостатки:

§ Редко производится резервное копирование информации;

§ Недостаточный уровень программных средств защиты информации;

§ Некоторые сотрудники имеют недостаточный навык владения ПК;

§ Не ведется контроль за сотрудниками. Часто работники могут уйти с места работы, не отключив свой ПК и имея при себе флеш-носитель со служебной информацией.

§ Отсутствие нормативных документов по информационной безопасности.

§ Не на всех компьютерах используются средства ОС, такие как пароли и учетные записи.

2.2 Цели и задачи формирования системы ИБ на предприятии

Главной целью системы информационной безопасности является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов предприятия от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений объекта. Другой целью системы информационной безопасности является повышение качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов.

Задачи формирования системы информационной безопасности в организации являются: целостность информации, достоверность информации и ее конфиденциальность. При выполнении поставленных задач, цель будет реализована.

Создание систем информационной безопасности (СИБ) в ИС и ИТ основывается на следующих принципах:

Системный подход к построению системы защиты, означающий оптимальное сочетание взаимосвязанных организационных, программных, аппаратных, физических и других свойств, подтвержденных практикой создания отечественных и зарубежных систем защиты и применяемых на всех этапах технологического цикла обработки информации.

Принцип непрерывного развития системы. Этот принцип, являющийся одним из основополагающих для компьютерных информационных систем, еще более актуален для СИБ. Способы реализации угроз информации в ИТ непрерывно совершенствуются, а потому обеспечение безопасности ИС не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования СИБ, непрерывном контроле, выявлении ее узких и слабых мест, потенциальных каналов утечки информации и новых способов несанкционированного доступа.

Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т. е. предоставление, как пользователям, так и самим работникам ИС, минимума строго определенных полномочий, достаточных для выполнения ими своих служебных обязанностей.

Полнота контроля и регистрации попыток несанкционированного доступа, т. е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в ИТ без ее предварительной регистрации.

Обеспечение надежности системы защиты, т. е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей и обслуживающего персонала.

Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.

Обеспечение всевозможных средств борьбы с вредоносными программами.

Обеспечение экономической целесообразности использования системы защиты, что выражается в превышении возможного ущерба ИС и ИТ от реализации угроз над стоимостью разработки и эксплуатации СИБ.

2.3 Предлагаемые мероприятия по улучшению системы информационной безопасности организации

Выявленные недостатки на предприятии требуют их устранения, поэтому предлагается проведение следующих мероприятий.

§ Регулярное резервное копирование БД с личными данными сотрудников общества, с бухгалтерскими данными и др. баз, имеющихся на предприятии. Это предотвратит потерю данных из-за сбоев дисков, отключения электропитания, воздействия вирусов и других случайностей. Тщательное планирование и регулярное проведение процедур резервного копирования позволяет при потере данных быстро их восстановить.

§ Использование средств ОС на каждом компьютере. Создание учетных записей для специалистов и регулярная смена пароля для этих учетных записей.

§ Обучение персонала предприятия работе с компьютерами. Необходимое условие для правильной работы на рабочих станциях и предотвращения потери и повреждения информации. От навыков владения ПК персоналом зависит работа всего предприятия, в плане правильности выполнения.

§ Установка на компьютеры антивирусных программ таких как: Avast, NOD, Doctor Web и т.п. Это позволит избежать заражение компьютеров различными вредоносными программами, называемыми вирусы. Что очень актуально для данного предприятия, так как несколько ПК имеет доступ в Интернет и сотрудники для обмена информацией пользуются флеш-носителями.

§ Ведение контроля за сотрудниками, с помощью видеокамер. Это позволит сократить случаи халатного обращения с оборудованием, риск краж оборудования и их порчи, а также позволит контролировать «вынос» служебной информации с территории общества.

§ Разработка нормативного документа «Меры защиты информации в ООО «Овен» и ответственность за их нарушения», который бы соответствовали действующему законодательству РФ и определит риски, нарушения и ответственность за эти нарушения (штрафы, наказания). А также внесения соответствующей графы в трудовой договор общества, что он ознакомлен и обязуется выполнять положения данного документа.

2.4 Эффективность предложенных мероприятий

Предложенные мери несут в себе не только положительные моменты, такие как устранение основных проблем на предприятии, касающихся информационной безопасности. Но при этом они потребуют дополнительных вложений на обучение персонала, разработку нормативных документов, касающихся политики безопасности. Потребует дополнительных затрат труда и не исключат стопроцентно риски. Всегда будет иметь место человеческий фактор, форс-мажорные обстоятельства. Но если такие меры не предпринять затраты на восстановление информации, потерянные возможности по стоимости превзойдут те затраты, что требуются для разработки системы безопасности.

Рассмотрим результаты предложенных мер:

1. Повышения надежности системы ИБ организации;

2. Повышение уровня владения ПК персонала;

3. Уменьшен риск потери информации;

4. Наличие нормативного документа определяющего политику безопасности.

5. Возможно, уменьшит риск внесения/вынесения информации с предприятия.

3 Модель информационной безопасности

Представленная модель информационной безопасности (рисунок 2) - это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.

Рисунок 2 - Модель системы информационной безопасности

Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 "Информационная технология - методы защиты - критерии оценки информационной безопасности", стандарту ISO/IEC 17799 "Управление информационной безопасностью", и учитывает тенденции развития отечественной нормативной базы (в частности, Гостехкомиссии РФ) по вопросам информационной безопасности.

Выводы и предложения

Информационная эра привела к драматическим изменениям в способе выполнения своих обязанностей для большого числа профессий. Теперь нетехнический специалист среднего уровня может выполнять работу, которую раньше делал высококвалифицированный программист. Служащий имеет в своем распоряжении столько точной и оперативной информации, сколько никогда не имел.

Но использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем для руководства организацией. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным. Все увеличивается число компьютерных преступлений, что может привести, в конечном счете, к подрыву экономики. И поэтому должно быть ясно, что информация - это ресурс, который надо защищать.

И так как автоматизация привела к тому, что теперь операции с вычислительной техникой выполняются простыми служащими организации, а не специально подготовленным техническим персоналом, нужно, чтобы конечные пользователи знали о своей ответственности за защиту информации.

Единого рецепта, обеспечивающего 100% гарантии сохранности данных и надёжной работы сети не существует. Однако создание комплексной, продуманной концепции безопасности, учитывающей специфику задач конкретной организации, поможет свести риск потери ценнейшей информации к минимуму. Компьютерная защита - это постоянная борьба с глупостью пользователей и интеллектом хакеров.

В заключение хочется сказать о том, что защита информации не ограничивается техническими методами. Проблема значительно шире. Основной недостаток защиты - люди, и поэтому надежность системы безопасности зависит в основном от отношения к ней служащих компании. Помимо этого, защита должна постоянно совершенствоваться вместе с развитием компьютерной сети. Не стоит забывать, что мешает работе не система безопасности, а ее отсутствие.

Так же хотелось бы, подводя итоги данного курсового проекта, отметить, что, проанализировав систему ИБ предприятия «Овен» были выявлены пять недостатков. После поиска были найдены решения по их устранению, эти недостатки могут быть исправлены, что улучшит ИБ предприятия в целом.

В ходе вышеописанных действий, отрабатывались практические и теоретические навыки изучения системы ИБ, следовательно, цель курсового проекта достигнута. Благодаря найденным решениям, можно сказать, что все задачи проекта были выполнены.

Список литературы

1. ГОСТ 7.1-2003. Библиографическая запись. Библиографическое описание. Общие требования и правила составления (М. : Изд-во стандартов, 2004).

2. Галатенко, В.А. «Основы информационной безопасности». - М.:«Интуит», 2003.

3. Завгородний, В. И. «Комплексная защита информации в компьютерных системах». - М.: «Логос», 2001.

4. Зегжда, Д.П., Ивашко, А.М. «Основы безопасности информационных систем».

5. Носов, В.А. Вводный курс по дисциплине “Информационная безопасность”.

6. Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Размещено на Allbest.ru