Проектирование системы информационной безопасности для бухгалтерии торговой компании
Анализ инфраструктуры бухгалтерии торговой компании и исходных данных для проектирования системы информационной безопасности. Особенности разработки концепции, политики и структуры информационной безопасности. Виды и функции средств защиты информации.
| Рубрика | Бухгалтерский учет и аудит |
| Вид | курсовая работа |
| Язык | русский |
| Дата добавления | 22.08.2011 |
| Размер файла | 83,5 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
62
Курсовая работа
на тему:
Проектирование системы ИБ для бухгалтерии торговой компании
по дисциплине
Информационная безопасность
Содержание
- Введение
- 1. Обследование существующей инфраструктуры и определение исходных данных для проектирования системы ИБ
- 1.1 Состав и выполняемые функции должностных лиц
- 1.2 Состав и назначение аппаратных и программных средств
- 1.3 Функции информационной системы
- 2. Выработка требований к ИБ
- 2.1 Определение минимальных требований на основе потребностей в ИБ
- 2.2 Определение класса защищенности системы и показателей защищенности от НСД
- 2.3 Определение требований к информационной безопасности
- 3. Разработка концепции ИБ
- 3.1 Цели и задачи информационной безопасности
- 3.2 Общие направления информационной безопасности
- 3.3 Основные аспекты, решаемые при разработке ИБ
- 4. Анализ рисков
- 4.1 Изучение и систематизация угроз ИБ
- 4.2 Определение каналов несанкционированного доступа
- 4.3 Оценка рисков нарушения безопасности
- 5. Разработка политики ИБ и выбор решений по обеспечению политики ИБ
- 5.1 Административный уровень ИБ
- 5.2 Организационный уровень ИБ
- 5.3 Технический уровень ИБ
- 6. Создание системы информационной безопасности
- 6.1 Разработка структуры системы
- 6.2 Подсистема идентификации и аутентификации пользователей
- 6.3 Подсистема защиты от вредоносного программного обеспечения
- 6.4 Подсистема резервного копирования и архивирования
- 6.5 Подсистема обнаружения сетевых атак
- 6.6 Подсистема защиты информации в ЛВС
- 6.7 Подсистема обеспечения целостности данных
- 6.8 Подсистема регистрации и учета
- Заключение
- Библиографический список
- Введение
- На современном этапе развития нашего общества многие традиционные ресурсы человеческого прогресса постепенно утрачивают свое первоначальное значение. На смену им приходит новый ресурс, единственный продукт не убывающий, а растущий со временем, называемый информацией. Информация становится сегодня главным ресурсом научно-технического и социально-экономического развития мирового сообщества. Чем больше и быстрее внедряется качественной информации в народное хозяйство и специальные приложения, тем выше жизненный уровень народа, экономический, оборонный и политический потенциал страны.
- В настоящее время хорошо налаженная распределенная сеть информационно-вычислительных комплексов способна сыграть такую же роль в общественной жизни, какую в свое время сыграли электрификация, телефонизация, радио и телевидение вместе взятые. Ярким примером этому стало развитие глобальной сети Internet. Уже принято говорить о новом витке в развитии общественной формации - информационном обществе.
- Любая предпринимательская деятельность тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Целостность современного мира как сообщества обеспечивается, в основном, за счет интенсивного информационного обмена. Приостановка глобальных информационных потоков даже на короткое время способно привести к не меньшему кризису, чем разрыв межгосударственных экономических отношений. Поэтому в новых рыночно-конкурентных условиях возникает масса проблем, связанных не только с обеспечением сохранности коммерческой (предпринимательской) информации как вида интеллектуальной собственности, но и физических и юридических лиц, их имущественной собственности и личной безопасности.
- Учитывая известный афоризм «цель оправдывает средства», информация представляет определенную цену. И поэтому сам факт получения информации злоумышленником приносит ему определенный доход, ослабляя тем самым возможности конкурента. Отсюда главная цель злоумышленника - получение информации о составе, состоянии и деятельности объекта конфиденциальных интересов (фирмы, изделия, проекта, рецепта, технологии и т. д.) в целях удовлетворения своих информационных потребностей. Возможно в корыстных целях и внесение определенных изменений в состав информации, циркулирующей на объекте конфиденциальных интересов. Такое действие может привести к дезинформации по определенным сферам деятельности, учетным данным, результатам решения некоторых задач. Более опасной целью является уничтожение накопленных информационных массивов в документальной или магнитной форме и программных продуктов. В связи с этим все большее значение приобретает организация эффективной системы информационной безопасности.
- Целью данной курсовой работы является проектирование системы информационной безопасности для бухгалтерии торговой компании «Вес-трэйд».
- Исходя из поставленной цели, необходимо решить следующие задачи:
- 1. обследовать существующую инфраструктуру бухгалтерии торговой компании «Вес-трэйд» и определить исходные данные для проектирования системы ИБ;
2. определить минимальные требования на основе потребностей в ИБ;
3. разработать концепцию ИБ;
4. проанализировать риски;
5. разработать политику ИБ и выбрать решения по обеспечении политики ИБ;
6. разработать структуру системы ИБ;
7. рассмотреть виды и функции средств защиты информации.
8. Замечание. Нумерованный список с точками набирается с прописной буквы. 1 пункт, я думаю, лучше назвать провести аудит системы защиты информации и определить исходные данные для проектирования системы ИБ;
1. Обследование существующей инфраструктуры и определение исходных данных для проектирования системы ИБ
1.1 Состав и выполняемые функции должностных лиц
Бухгалтерия торговой компании «Вес-трэйд» осуществляет сплошное, непрерывное, взаимосвязанное, документальное отражение хозяйственной деятельности данного предприятия, обеспечивает текущее руководство (вряд ли обеспечивает руковдство!?) и управление компанией, является обобщающим и прогнозирующим инструментом. Функции данного отдела организации возлагаются на соответствующие должностные лица (бухгалтеров), которые производят учет, необходимый для характеристики отдельных сторон деятельности компании. Указанные должностные лица несут ответственность за правильное и своевременное оформление хозяйственных операций, а также обеспечивают сохранность и учет денежных средств, циркулирующих в процессе осуществления хозяйственной деятельности организации.
С бухгалтерами заключаются договоры о полной материальной ответственности в соответствии с законодательством РФ.
Деятельность бухгалтерии организована следующим образом: первичные учетные документы по мере их поступления обрабатываются соответствующими бухгалтерами. Затем на основе этих первичных документов составляются бухгалтерские проводки, по которым заполняются соответствующие учетные регистры: журналы-ордера и ведомости. На базе учетных регистров составляется оборотно-сальдовая ведомость, а в конце отчетного периода по оборотно-сальдовой ведомости заполняется бухгалтерский баланс. Также в конце отчетного периода составляются отчет о прибылях и убытках и налоговая декларация.
Наименования документов (форм), коды форм а также реквизиты документов установлены Общероссийским классификатором управленческой документации (ОКУД), Госкомстатом РФ и ЦБ РФ.
Таким образом, обеспечивается решение следующих задач:
· правильное и своевременное документальное оформление хозяйственных операций;
· контроль за сохранностью и движением денежных средств;
· контроль за осуществлением хозяйственных операций;
· проведение анализа эффективности работы компании;
· обобщение данных и прогнозирование деятельности предприятия на следующий отчетный период.
Бухгалтерия ТК «Вес-трэйд» имеет следующую структуру:
Размещено на http://www.allbest.ru/
62
Выполняемые функции должностных лиц:
1. Бухгалтер-кассир осуществляет учет прихода и расхода денежных средств в кассе. Используя первичные учетные документы по кассе (приходный и расходный кассовые ордера, кассовую книгу) составляет журнал-ордер №1 счет 50 «Касса» и ведомость №1 счет 50 «Касса». (указаны не все документы).
2. Бухгалтер по банку обеспечивает учет операций по расчетному счету, открытому организацией. На основе первичных документов по банку (платежные поручения, выписка с расчетного счета банка) заполняет журнал-ордер №2 счет 51 «Расчетный счет», ведомость №2 счет 51 «Расчетный счет».
3. Бухгалтер 1 осуществляет учет расчетов с поставщиками и покупателями. На основе полученных и выставленных счетов-фактур, соответствующих им товарным накладным и банковским документам по безналичному перечислению денежных средств оформляется журнал-ордер № 7 счет 60 «Расчеты с поставщиками» и журнал-ордер № 9 счет 62 «Расчеты с покупателями и заказчиками».
4. Бухгалтер 2 производит учет расчетов с подотчетными лицами. Используя авансовые отчеты, составленные подотчетными лицами, бухгалтер проверяет целевое расходование средств, наличие оправдательных документов, подтверждающих произведенные расходы, правильность их оформления и подсчета сумм, заполняет приходный ордер, также являющийся первичным учетным документом. На базе этих документов составляется журнал-ордер № 7 счет 71 «Расчеты с подотчетными лицами».
5. Главный бухгалтер производит учет хозяйственной деятельности предприятия за отчетный период, заполняет оборотно-сальдовую ведомость, бухгалтерский баланс, налоговую декларацию, отчет о прибылях и убытках. Осуществляет на основе первичных документов по учету рабочего времени и расчетов с персоналом по оплате труда начисление заработной платы.
1.2 Состав и назначение аппаратных и программных средств
ЛВС бухгалтерии торговой компании «Вес-трэйд» создана с учетом единых концептуальных положений, лежащих в основе построения современных вычислительных сетей связи. Основу таких положений в первую очередь составляет использование общих принципов построения и однородного активного сетевого оборудования.
Сетевая структура ЛВС компании содержит несколько выраженных иерархических уровней. ЛВС бухгалтерии представляет фрагмент корпоративной сети, данный фрагмент сети состоит из нескольких сегментов, подключенных к магистрали более высокого уровня и осуществляющих доступ информационным ресурсам сети (схема ЛВС приведена на рис.1). ЛВС построена на базе стандарта Ethernet 10/100 Base-T.
Таблица 1
|
Компонент/характеристика |
Реализация |
|
|
Топология |
Звезда |
|
|
Линия связи |
Неэкранированная витая пара категории 5 |
|
|
Сетевые адаптеры |
Ethernet 10/100 Base-T |
|
|
Коммуникационное оборудование |
Коммутатор Ethernet 10/100 Base-T |
|
|
Совместное использование периферийных устройств |
Подключение сетевых принтеров через компьютеры к сетевому кабелю. Управление очередями к принтерам осуществляется с помощью программного обеспечения компьютеров. |
|
|
Поддерживаемые приложения |
Организация коллективной работы в среде электронного документооборота, работа с базой данных. |
Схема размещения средств вычислительной техники бухгалтерии, построенная с помощью редактора Microsoft Visio, приведена на рис. 2.
Таблица 2
|
Наименование оборудования |
Количество, шт. |
|
|
Монитор LG Electronics Flatron LCD 1719S (17”, 1280X1024, 1400:1, 300, 170/170, 8 ms) |
5 |
|
|
Системная плата GigaByte GA-81945P-G (i945P, LGA775, Dual DDR-II, PCIE X16, 1066MHz) |
5 |
|
|
Процессор Intel Pentium D 945 (3.4 GHz, cache 2X2 Mb, LGA775, 800Mhz FSB, XD) |
5 |
|
|
Вентилятор для CPU Pentium D |
5 |
|
|
HDD Seagate Barracuda 7200.10 ST3250820AS 250,0Gb (S-ATA, 7200rpm, 8MB) |
5 |
|
|
Модуль памяти Kingston DIMM 512MB DDRII-667 |
10 |
|
|
Корпус Asus 6AR6/420 Silent (MidiTower, ATX, 420Bт, USB) |
5 |
|
|
Привод FDD 1.44/3.5” |
5 |
|
|
DVD-RW Pioneer DVR-111D (IDE) |
5 |
|
|
Клавиатура Logitech Deluxe Keyboard (PS/2) |
5 |
|
|
Манипулятор Pilot Wheel Mouse Optical BT58 (оптика, PS/2 и USB) |
5 |
|
|
Back-UPS CS 500 (BK500RS ) |
5 |
Таблица 3
|
Наименование |
Количество, |
|
|
Сетевой адаптер Intel PRO/1000MT Desktop Adapter (PCI, 10/100 Mbps, PWLA8390MT) |
5 шт |
|
|
Коммутатор D-Link DES-1008D (UTP, 8 X10/100) |
1 шт |
|
|
Кабель UTP (Alcatel/Nexans, категория 5е) |
60 м |
|
|
Разъем RJ-45 (категория 5е) |
10 шт |
|
|
Специализированный инструмент: клещи для обжима разъемов RJ-45 |
1 |
Таблица 4
|
Наименование |
Количество, шт. |
|
|
MS Windows XP Professional Russian SP2 (OEM) |
5 |
|
|
MS Office 2003 Basic Edition Russian SP2 (OEM) |
5 |
|
|
1С: Бухгалтерия 7.7 |
5 |
Таким образом, с помощью программных и аппаратных средств в бухгалтерии торговой компании «Вес-трейд» решаются следующие задачи:
1. Организация общедоступной базы данных с помощью бухгалтерской программы «1С: Бухгалтерия 7.7».
2. Совместная обработка информации пользователями.
3. Централизованное резервное копирование всех данных.
4. Контроль за доступом к важным данным.
5. Совместное использование оборудования и программного обеспечения.
1.3 Функции информационной системы
Контекстная диаграмма функциональной модели деятельности бухгалтерии торговой компании представлена на рис.3. Диаграмма декомпозиции функциональной модели изображена на рис. 4.
Информационная система построена на базе платформы «1С: Бухгалтерия 7.7». Перечень функций, выполняемых пользователями информационной системы бухгалтерии, приведен в табл. 5.
Таблица 5
|
Пользователь |
Выполняемые функции |
|
|
Бухгалтер-кассир |
Оформляет приходные и расходные кассовые ордера с помощью документов «Приходный кассовый ордер» и «Расходный кассовый ордер». По этим документам, введенным в программу, автоматически строится кассовая книга. Для этого используется специализированный отчет «Кассовая книга». |
|
|
Бухгалтер по банку |
Ведет справочники «Банковские счета» и «Валюты». Выписывает платежные поручения с помощью документа «Платежное поручение». Для отражения операций по зачислению и списанию денежных средств использует документ «Выписка». |
|
|
Бухгалтер 1 |
Ведет справочник «Контрагенты», в котором отражается список поставщиков и покупателей, и справочник «Договоры», в котором храниться сведения о договорах, заключенных организацией. Оформляет счета-фактуры с помощью документов «Счета-фактуры». |
|
|
Бухгалтер 2 |
Оформляет авансовые отчеты с помощью документа «Авансовый отчет» и приходные ордера. |
|
|
Главный бухгалтер |
Ведет справочник «Сотрудники». Оформляет документы, связанные с начислением, выплатой заработной платы работникам, с приемом на работу, увольнением и др. с помощью документов «Зарплата». Составляет бухгалтерскую и налоговую отчетность, предназначенную для предоставления в налоговую инспекцию, внебюджетные фонды и органы статистики, используя специальный режим «Регламентированные отчеты». |
Журналы-ордера и ведомости по каждому счету, оборотно-сальдовая ведомость, а также стандартные отчеты «Анализ счета», «Анализ счета по датам», «Карточка счета» и прочие отчеты формируются автоматически по мере введения в программу первичных учетных документов.
2. Выработка требований к ИБ
2.1 Определение минимальных требований на основе потребностей в ИБ
Данные, получаемые бухгалтерией в процессе работы, имеют важнейшее значение для функционирования компании, поскольку с их помощью решаются следующие задачи:
· Отражение хозяйственной деятельности предприятия.
· Обеспечение текущего руководства и управления компанией.
· Прогнозирование будущей деятельности.
Данные бухгалтерского учета в виде всевозможных отчетов сохраняются длительное время, причем как в электронном, так и бумажном виде. Информация о состоянии финансово-хозяйственной деятельности предприятия в текущем периоде может быть получена только при наличии аналогичной информации за предшествующий период, поэтому потеря, порча и модификация этой информации может причинить немалый вред компании. В рамках информационной безопасности для нормального функционирования механизмов бухгалтерского учета необходимо обеспечить целостность и полноту базы данных, предотвращение потери и некорректного изменения информации в базе данных.
Каждый сбой работы базы данных ? это не только моральный ущерб для работников предприятия и сетевых администраторов. По мере развития технологий электронных платежей, «безбумажного» документооборота и серьезный сбой локальных сетей может парализовать работу компании, что приведет к ощутимым убыткам. При этом защита данных в компьютерных сетях становится одной из самых острых проблем.
Обеспечение безопасности информации в компьютерных сетях предполагает создание препятствий для любых несанкционированных попыток хищения, модификации или потери данных, передаваемых в сети. При этом очень важно сохранить такие свойства информации, как:
· доступность;
· целостность;
· конфиденциальность.
Доступность информации - это ее свойство, характеризующее способность обеспечивать своевременный и беспрепятственный доступ пользователей к интересующей их информации.
Целостность информации заключается в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию),
Конфиденциальность ? это свойство, указывающее на необходимость введения ограничений доступа к данной информации для определенного круга пользователей. К конфиденциальной информации в базе данных бухгалтерии могут быть отнесена информация о заработной плате работников.
Проблема безопасности сети для нашей страны является очень важной и актуальной. Однако, в силу относительной новизны информационных технологий, а также того, что Internet, благодаря своей структуре, не требует высокой квалификации пользователей, сложилась довольно опасная ситуация, когда большинство работающих в Internet имеют весьма слабое представление о том, насколько опасной может оказаться эта работа. Слишком общие фразы. Нужно конкретно. А где аудит информационной безопасности? Что использовалось для защиты ИБ? Что плохо и что нужно исправить?
2.2 Определение класса защищенности системы и показателей защищенности от НСД
Поскольку данные бухгалтерского учета относятся к служебной информации, не составляющей коммерческую тайну и, следовательно, не представляющей интереса для профессиональных взломщиков, то целесообразно отнести данную систему к четвертому классу защищенности. Защита информации диктуется технологическими причинами, такими как защита от сбоев, защита от нарушений работы пользователей и т.д. Главная цель защиты информации - обеспечение целостности и предотвращение потери или модификации данных.
Модель нарушителя безопасности информации.
Потенциальным нарушителей информационной безопасности является ненадежный (неблагополучный) сотрудник, который своими действиями может доставить столько же проблем (бывает и больше), сколько промышленный шпион, к тому же его присутствие обычно сложнее обнаружить. Кроме того, ему приходится преодолевать не внешнюю защиту сети, а только, как правило, менее жесткую внутреннюю. Он не так изощрен в способах атаки, как промышленный шпион, и поэтому чаще допускает ошибки и тем самым может выдать свое присутствие. Однако в этом случае опасность его несанкционированного доступа к корпоративным данным много выше, чем любого другого злоумышленника. Неквалифицированный сотрудник также представляет угрозу информационной безопасности, так как своими действиями может нарушить целостность базы данных.
К показателям защищенности четвертого класса защиты относится:
· дискреционный принцип контроля доступа;
· мандатный принцип контроля доступа;
· очистка памяти;
· изоляция модулей;
· маркировка документов;
· защита ввода и вывода на отчуждаемый физический носитель информации;
· сопоставление пользователя с устройством;
· идентификация и аутентификация;
· гарантии проектирования;
· регистрация;
· целостность КСЗ;
· тестирование и тестовая документация;
· контроль модификации;
2.3 Определение требований к информационной безопасности
Требования к показателям четвертого класса защищенности:
1. Дискреционный принцип контроля доступа. Данные требования включают аналогичные требования пятого класса. Дополнительно КСЗ должен содержать механизм, претворяющий в жизнь дискреционные ПРД, как для явных действий пользователя, так и для скрытых, обеспечивая тем самым защиту объектов от НСД (т.е. от доступа, не допустимого с точки зрения заданного ПРД). Под «явными» здесь подразумеваются действия, осуществляемые с использованием системных средств - системных макрокоманд, инструкций языков высокого уровня и т.д., а под «скрытыми» - иные действия, в том числе с использованием собственных программ работы с устройствами.
2. Мандатный принцип контроля доступа. Для реализации этого принципа должны сопоставляться классификационные метки каждого субъекта и каждого объекта, отражающие их место в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).
3. Очистка памяти. При первоначальном назначении или при перераспределении внешней памяти КСЗ должен затруднять субъекту доступ к остаточной информации. При перераспределении оперативной памяти КСЗ должен осуществлять ее очистку.
4. Изоляция модулей. При наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта), от программных модулей других процессов (других субъектов) - т.е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга.
5. Маркировка документов. При выводе защищаемой информации на документ в начале и конце проставляют штамп № 1 и заполняют его реквизиты в соответствии с Инструкцией № 0126-87 (п. 577).
6. Защита ввода и вывода на отчуждаемый физический носитель информации. КСЗ должен различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или идентифицированные («помеченные»). При вводе с «помеченного» устройства (вывода на «помеченное» устройство) КСЗ должен обеспечивать соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие должно обеспечиваться при работе с "помеченным" каналом связи.
7. Сопоставление пользователя с устройством. Идентифицированный КСЗ должен включать в себя механизм, посредством которого санкционированный пользователь надежно сопоставляется выделенному устройству.
8. Идентификация и аутентификация. КСЗ должен требовать от пользователей идентифицировать себя при запросах на доступ, должен проверять подлинность идентификатора субъекта - осуществлять аутентификацию. КСЗ должен располагать необходимыми данными для идентификации и аутентификации и препятствовать входу в СВТ не идентифицированного пользователя или пользователя, чья подлинность при аутентификации не подтвердилась.
9. Гарантии проектирования. Проектирование КСЗ должно начинаться с построения модели защиты, содержащей: непротиворечивые ПРД; непротиворечивые правила изменения ПРД; правила работы с устройствами ввода и вывода информации и каналами связи.
10. Регистрация. Данные требования включают аналогичные требования пятого класса защищенности. Дополнительно должна быть предусмотрена регистрация всех попыток доступа, всех действий оператора и выделенных пользователей (администраторов защиты и т.п.).
11. Целостность КСЗ.В СВТ четвертого класса защищенности должен осуществляться периодический контроль за целостностью КСЗ.
12. Тестирование. В четвертом классе защищенности должны тестироваться: реализация ПРД (перехват запросов на доступ, правильное распознавание санкционированных и несанкционированных запросов в соответствии с дискреционными и мандатными правилами, верное сопоставление меток субъектов и объектов, запрос меток вновь вводимой информации, средства защиты механизма разграничения доступа, санкционированное изменение ПРД).
13. Руководство для пользователя. Документация на СВТ должна включать в себя краткое руководство для пользователя с описанием способов использования КСЗ и его интерфейса с пользователем.
14. Руководство по КСЗ. Данный документ адресован администратору защиты и должен содержать: описание контролируемых функций; руководство по генерации КСЗ; описание старта СВТ и процедур проверки правильности старта.
15. Тестовая документация. Должно быть представлено описание тестов и испытаний, которым подвергалось СВТ и результатов тестирования.
3. Разработка концепции ИБ
3.1 Цели и задачи информационной безопасности
Режим информационной безопасности - это комплекс организационных и программно-технических мер, которые должны обеспечивать следующие параметры:
· доступность и целостность информации;
· конфиденциальность информации;
· невозможность отказа от совершенных действий;
· аутентичность электронных документов.
Цель информационной безопасности - обеспечить бесперебойную работу организации и свести к минимуму ущерб от событий, таящих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму.
К задачам информационной безопасности бухгалтерии торговой компании «Вес-трэйд» относится:
· объективная оценка текущего состояния информационной безопасности;
· обеспечение защиты и надежного функционирования прикладных информационных сервисов;
· обеспечение безопасного доступа в Интернет с защитой от вирусных атак и спама;
· защита системы электронного документооборота;
· построение системы централизованного мониторинга и управления информационной безопасностью сети;
· организация защищенного информационного взаимодействия с территориально удаленными офисами и мобильными пользователями;
· получение защищенного доступа к информационной системе организации;
· обеспечение целостности и доступности информации;
· предотвращение некорректного изменения и модификации данных.
3.2 Общие направления информационной безопасности
Проблема обеспечения необходимого уровня защиты информации - весьма сложная задача, требующая для своего решения не просто осуществления некоторой совокупности научных, научно-технических и организационных мероприятий и применения специфических средств и методов, а создания целостной системы организационных мероприятий и применения специфических средств и методов по защите информации.
В рамках комплексного подхода к внедрению системы безопасности для бухгалтерии торговой компании «Вес-трэйд» можно выделить следующие общие направления:
· внедрение решений по сетевой безопасности с применением средств компьютерной защиты информации;
· внедрение системы многофакторной аутентификации и защиты от несанкционированного доступа;
· внедрение систем однократной аутентификации (SSO);
· внедрение системы контроля целостности информационной системы;
· внедрение решений по мониторингу и управлению информационной безопасностью;
· внедрение системы контроля доступа к периферийным устройствам и приложениям;
· внедрение систем защиты от модификации и изменения информации.
Основными требованиями к комплексной системе защиты информации являются:
· система защиты информации должна обеспечивать выполнение информационной системой своих основных функций без существенного ухудшения характеристик последней;
· система защиты должна быть экономически целесообразной;
· защита информации должна обеспечиваться на всех этапах жизненного цикла, при всех технологических режимах обработки информации, в том числе при проведении ремонтных и регламентных работ;
· в систему защиты информации должны быть заложены возможности ее совершенствования и развития в соответствии с условиями эксплуатации и конфигурации;
· система защиты в соответствии с установленными правилами должна обеспечивать разграничение доступа к конфиденциальной информации с отвлечением нарушителя на ложную информацию, т.е. обладать свойствами активной и пассивной защиты;
· система защиты должна позволять проводить учет и расследование случаев нарушения безопасности информации;
· применение системы защиты не должно ухудшать экологическую обстановку, не быть сложной для пользователя, не вызывать психологического противодействия и желания обойтись без нее.
3.3 Основные аспекты, решаемые при разработке ИБ
Уязвимость данных в информационной системе бухгалтерии компании обусловлена долговременным хранением большого объема данных на магнитных носителях, одновременным доступом к ресурсам нескольких пользователей. Можно выделить следующие трудности при разработке системы информационной безопасности:
· на сегодняшний день нет единой теории защищенных систем;
· производители средств защиты в основном предлагают отдельные компоненты для решения частных задач, оставляя вопросы формирования системы защиты и совместимости этих средств на усмотрение потребителей;
· для обеспечения надежной защиты необходимо разрешить целый комплекс технических и организационных проблем и разработать соответствующую документацию.
Для преодоления вышеперечисленных трудностей необходима координация действий всех участников информационного процесса. Обеспечение информационной безопасности - достаточно серьезная задача, поэтому необходимо, прежде всего, разработать концепцию безопасности информации, где определить интересы компании, принципы обеспечения и пути поддержания безопасности информации, а также сформулировать задачи по их реализации.
В основе комплекса мероприятий по информационной безопасности должна быть стратегия защиты информации. В ней определяются цели, критерии, принципы и процедуры, необходимые для построения надежной системы защиты. В разрабатываемой стратегии должны найти отражение не только степень защиты, поиск брешей, места установки брандмауэров или proxy-серверов и т. п. В ней необходимо еще четко определить процедуры и способы их применения для того, чтобы гарантировать надежную защиту.
Важнейшей особенностью общей стратегии информационной защиты является исследование системы безопасности. Можно выделить два основных направления:
· анализ средств защиты;
· определение факта вторжения.
На основе концепции безопасности информации разрабатываются стратегия безопасности информации и архитектура системы защиты информации Следующий этап обобщенного подхода к обеспечению безопасности состоит в определении политики, содержание которой - наиболее рациональные средства и ресурсы, подходы и цели рассматриваемой задачи.
4. Анализ рисков
4.1 Изучение и систематизация угроз ИБ
Под угрозой понимается событие (воздействие), которое в случае своей реализации становится причиной нарушения целостности информации, ее потери или замены. Угрозы могут быть как случайными, так и умышленными (преднамеренно создаваемыми).
К случайным угрозам относятся:
· ошибки обслуживающего персонала и пользователей:
· потеря информации, обусловленная неправильным хранением архивных данных;
· случайное уничтожение или изменение данных;
· сбои оборудования и электропитания:
· сбои кабельной системы;
· перебои электропитания;
· сбои дисковых систем;
· сбои систем архивирования данных;
· сбои работы серверов, рабочих станций, сетевых карт и т. д.
· некорректная работа программного обеспечения:
· изменение данных при ошибках в программном обеспечении;
· заражение системы компьютерными вирусами.
· несанкционированный доступ:
· случайное ознакомление с конфиденциальной информацией посторонних лиц.
Необходимо отметить, что зачастую ущерб наносится не из-за чьего-то злого умысла, а просто по причине элементарных ошибок пользователей, которые случайно портят или удаляют данные, жизненно важные для системы. В связи с этим, помимо контроля доступа, необходимым элементом защиты информации в компьютерных сетях является разграничение полномочий пользователей. Кроме того, вероятность ошибок обслуживающего персонала и пользователей сети может быть значительно уменьшена, если их правильно обучать и, кроме того, периодически контролировать их действия со стороны, например, администратора безопасности сети.
Трудно предсказуемыми источниками угроз информации являются аварии и стихийные бедствия. Но и в этих случаях для сохранения информации могут использоваться различные средства.
Наиболее надежное средство предотвращения потерь информации при кратковременном отключении электроэнергии - установка источников бесперебойного питания (UPS). Различные по своим техническим и потребительским характеристикам, подобные устройства могут обеспечить питание всей локальной сети или отдельного компьютера в течение времени, достаточного для восстановления подачи напряжения или для сохранения информации на магнитных носителях. Большинство UPS выполняют функции еще и стабилизатора напряжения, что является дополнительной защитой от скачков напряжения в сети. Многие современные сетевые устройства (серверы, концентраторы, мосты и др.) оснащены собственными дублированными системами электропитания.
Основной, наиболее распространенный, метод защиты информации и оборудования от стихийных бедствий (пожаров, землетрясений, наводнений и т. п.) состоит в создании и хранении архивных копий данных, в том числе, в размещении некоторых сетевых устройств, например, серверов баз данных, в специальных защищенных помещениях, расположенных, как правило, в других зданиях, либо, реже, в другом районе города или в даже другом городе.
Особенностью компьютерной неосторожности является то, что безошибочных программ в принципе не бывает. Если проект практически в любой области техники можно выполнить с огромным запасом надежности, то в области программирования такая надежность весьма условна, а иногда почти не достижима. И это касается не только отдельных программ, но и целого ряда программных продуктов фирм, известных во всем мире.
Как считают эксперты по безопасности, из-за недостатков в программных продуктах Microsoft, связанных с обеспечением безопасности данных в сети Internet, хакеры могут захватывать личные ключи шифров пользователей и действовать от их лица. Поскольку существуют дефекты в некоторых программах Microsoft, включая браузер Internet Explorer и пакет Internet Information Server, ключи шифров можно легко скопировать с жестких дисков компьютеров, подключенных к WWW.
Проблема состоит в том, что форматы файлов, применяемые для защиты личных ключей шифров, до конца не проработаны. Используя лазейки в системе защиты, можно с помощью вирусного программного кода, скрытого на Web-страницах, читать содержимое жестких дисков пользователей во время посещения ими данной страницы. А из-за дефекта в программных интерфейсах криптографии, используемых многими средствами Microsoft, множество ключей могут быть считаны с жесткого диска пользователя по простому запросу. Легкость, с которой это можно выполнить, ставит под угрозу все остальные средства шифрования, применяемые на Web-страницах и в браузерах.
Уровень указанных угроз в значительной мере снижается за счет повышения квалификации обслуживающего персонала и пользователей, а также надежности аппаратно-программных и технических средств.
Однако наиболее опасным источником угроз информации являются преднамеренные действия злоумышленников. Спектр их противоправных действий достаточно широк, а итогом их вмешательства в процесс взаимодействия пользователей сети является разглашение, фальсификация, незаконное тиражирование или уничтожение конфиденциальной информации.
Стандартность архитектурных принципов построения оборудования и программ обеспечивает сравнительно легкий доступ профессионала к информации, находящейся в персональном компьютере. Ограничение доступа к ПК путем введения кодов не гарантирует стопроцентную защиту информации.
Угрозы, преднамеренно создаваемые злоумышленником или группой лиц (умышленные угрозы), заслуживают более детального анализа, так как часто носят изощренный характер и приводят к тяжелым последствиям
К умышленным угрозам относятся:
· несанкционированный доступ к информации и сетевым ресурсам;
· раскрытие и модификация данных и программ, их копирование;
· раскрытие, модификация или подмена трафика вычислительной сети;
· разработка и распространение компьютерных вирусов, ввод в программное обеспечение логических бомб;
· кража магнитных носителей и расчетных документов;
· разрушение архивной информации или умышленное ее уничтожение;
· фальсификация сообщений, отказ от факта получения информации или изменение времени ее приема;
· перехват и ознакомление с информацией, передаваемой по каналам связи, и т. п.
Обычно выделяют три основных вида угроз безопасности: угрозы раскрытия, целостности и отказа в обслуживании. Угроза раскрытия заключается в том, что информация становится известной тому, кому не следует ее знать. В терминах компьютерной безопасности угроза раскрытия имеет место всегда, когда получен доступ к некоторой конфиденциальной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой.
Нарушение конфиденциальности (раскрытие) информации - это не только несанкционированное чтение документов или электронной почты. Прежде всего, это перехват и расшифровка сетевых пакетов (как известно, информация в сети передается пакетами), другими словами, анализ трафика.
4.2 Определение каналов несанкционированного доступа
Способ несанкционированного доступа (способ НСД) - также совокупность приемов и порядок действий, но с целью получения охраняемых сведений незаконным противоправным путем и обеспечения возможности воздействовать на эту информацию (например, подменить, уничтожить и т. п.).
Существующие в настоящее время способы НСД к информации многообразны: применение специальных технических устройств, использование недостатков вычислительных систем и получение секретных сведений о защищаемых данных.
Утечка информации через технические средства может происходить, за счет:
· микрофонного эффекта элементов электронных схем;
· магнитной составляющей поля электронных схем и устройств различного назначения и исполнения;
· электромагнитного излучения низкой и высокой частоты;
· возникновения паразитной генерации усилителей различного назначения;
· наводок по цепям питания электронных систем;
· наводок по цепям заземления электронных систем;
· взаимного влияния проводов и линий связи;
· высокочастотного навязывания мощных радиоэлектронных средств и систем;
Каждый из этих каналов будет иметь структуру в зависимости от условий расположения и исполнения.
Каналы утечки информации и способы несанкционированного доступа к источникам конфиденциальной информации объективно взаимосвязаны. Каждому каналу соответствует определенный способ НСД.
Вариант взаимосвязи способов несанкционированного доступа к объектам и источникам охраняемой информации и каналов утечки конфиденциальной информации приведен в табл. 6.
Таблица 6
|
Способ несанкционированного доступа |
Тип канала утечки информации |
||||
|
Визуальный |
Акустический |
Электромагнитный(магнитный,электрический) |
Материально-вещественные |
||
|
Подслушивание |
+ |
+ |
|||
|
Визуальное наблюдение |
+ |
||||
|
Хищение |
+ |
+ |
|||
|
Копирование |
+ |
+ |
|||
|
Подделка |
+ |
+ |
|||
|
Незаконное подключение |
+ |
+ |
|||
|
Перехват |
+ |
+ |
|||
|
Фотографирование |
+ |
||||
|
Итого по виду канала |
2 |
3 |
6 |
3 |
Способы НСД к проводным линиям связи.
Наиболее часто для передачи информации применяются телефонные линии в качестве проводных линий связи. Это связано с тем, что большинство компьютеров используют для передачи данных модемы, подключенные к телефонной линии.
Общепринятые способы подслушивания линии, связывающей компьютеры:
· непосредственное подключение к телефонной линии:
· контактное - последовательное или параллельное (прямо на АТС или где-нибудь на линии между телефонным аппаратом и АТС);
· бесконтактное (индукционное) подключение к телефонной линии;
· помещение радиоретранслятора («жучка») на телефонной линии:
· последовательное включение;
· параллельное включение.
4.3 Оценка рисков нарушения безопасности
Расходы на систему защиты информации необходимо сопоставить и привести в соответствие с ценностью защищаемой информации и других информационных ресурсов, подвергающихся риску, а также с ущербом, который может быть нанесен организации из-за сбоев в системе защиты.
Для оценки рисков необходимо систематически рассматривать следующие аспекты:
а) ущерб, который может нанести деятельности организации серьезное нарушение информационной безопасности, с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации;
б) реальная вероятность такого нарушения защиты в свете превалирующих угроз и средств контроля.
Данные бухгалтерского учета имеют первостепенное значение для деятельности любой организации, так как они формируют целостную картину финансово-хозяйственного состояния предприятия. На основании бухгалтерской отчетности осуществляются такие важнейшие функции, как планирование, оперативное управление деятельностью компании, прогнозирование, оценка состояния предприятия. Ежедневно в бухгалтерию поступает огромный поток первичных документов, которые обрабатываются бухгалтерами, вводятся в информационную систему, затем на основании первичной документации и отчетной информации предыдущего периода формируется бухгалтерская отчетность о деятельности компании в текущем периоде.
Ущерб и затраты на восстановление от повреждения, модификации и уничтожения информации напрямую зависит от временного периода, за который были уничтожены, повреждены или модифицированы данные. Чем больше временной период, тем больше ущерб и затраты на восстановление данных. Для минимизации ущерба и затрат на восстановление необходимо осуществлять резервное копирование базы данных.
5. Разработка политики ИБ и выбор решений по обеспечению политики ИБ
5.1 Административный уровень ИБ
К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.
Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство компании должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов, а также назначить ответственных за разработку, внедрение и сопровождение системы безопасности. Для торговой компании «Вес-трэйд» актуальным является создание службы информационной безопасности в составе 4 человек, которые будут отвечать за разработку, внедрение и совершенствование системы безопасности.
С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и исходят от руководства организации. Список решений этого уровня включает в себя следующие элементы:
· решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;
· формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;
· обеспечение базы для соблюдения законов и правил;
· формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.
Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Так как компания отвечает за поддержание критически важной базы данных бухгалтерии, то на первом плане стоит задача уменьшение числа потерь, повреждений или искажений данных.
На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.
Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.
Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.
В документ, характеризующий политику безопасности компании необходимо включить следующие разделы:
· вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;
· организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;
· классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
· штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
· раздел, освещающий вопросы физической защиты;
· управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;
· раздел, описывающий правила разграничения доступа к производственной информации;
· раздел, характеризующий порядок разработки и сопровождения систем;
· раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
· юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.
К административным мероприятиям защиты, необходимым для проведения в бухгалтерии торговой компании, относятся:
· поддержка правильной конфигурации ОС;
· создание, ведение и контроль журналов работы пользователей в ИС с помощью встроенных механизмов программы 1С Бухгалтерия 7.7;
· выявление «брешей» в системе защиты;
· проведение тестирования средств защиты;
· контроль смены паролей.
5.2 Организационный уровень ИБ
К организационным средствам защиты можно отнести организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ИС с целью обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы ИС и системы защиты на всех этапах их жизненного цикла. При этом организационные мероприятия играют двоякую роль в механизме защиты: с одной стороны, позволяют полностью или частично перекрывать значительную часть каналов утечки информации, а с другой - обеспечивают объединение всех используемых в ИС средств в целостный механизм защиты.
Организационные меры защиты базируются на законодательных и нормативных документах по безопасности информации. Они должны охватывать все основные пути сохранения информационных ресурсов и включать:
· ограничение физического доступа к объектам ИС и реализацию режимных мер;
· ограничение возможности перехвата информации вследствие существования физических полей;
· ограничение доступа к информационным ресурсам и другим элементам ИС путем установления правил разграничения доступа, криптографическое закрытие каналов передачи данных, выявление и уничтожение «закладок»;
· создание твердых копий важных с точки зрения утраты массивов данных;
· проведение профилактических и других мер от внедрения вирусов.
К организационно-правовым мероприятиям защиты, необходимыми для проведения в бухгалтерии торговой компании «Вес-трэйд» относятся:
· организация и поддержание надежного пропускного режима и контроль посетителей;
· надежная охрана помещений компании и территории;
· организация защиты информации, т. е. назначение ответственного за защиту информации, проведение систематического контроля за работой персонала, порядок учета, хранения и уничтожения документов;
Организационные мероприятия при работе с сотрудниками компании включают в себя:
· беседы при приеме на работу;
· ознакомление с правилами и процедурами работы с ИС на предприятии;
· обучение правилам работы с ИС для сохранения ее целостности и корректности данных;
· беседы с увольняемыми.
В результате беседы при приеме на работу устанавливается целесообразность приема кандидата на соответствующую вакансию.
Обучение сотрудников предполагает не только приобретение и систематическое поддержание на высоком уровне производственных навыков, но и психологическое их воспитание в глубокой убежденности, что необходимо выполнять требования промышленной (производственной) секретности, информационной безопасности. Систематическое обучение способствует повышению уровня компетентности руководства и сотрудников в вопросах защиты коммерческих интересов своего предприятия. Беседы с увольняющимися имеют главной целью предотвратить разглашение информации или ее неправильное использование. В ходе беседы следует особо подчеркнуть, что каждый увольняющийся сотрудник имеет твердые обязательства о неразглашении фирменных секретов и эти обязательства, как правило, подкрепляются подпиской о неразглашении известных сотруднику конфиденциальных сведений.
Организационно-технические меры защиты включают следующие основные мероприятия:
· резервирование (наличие всех основных компонентов операционной системы и программного обеспечения в архивах, копирование таблиц распределения файлов дисков, ежедневное ведение архивов изменяемых файлов);
· профилактика (систематическая выгрузка содержимого активной части винчестера на дискеты, раздельное хранение компонентов программного обеспечения и программ пользователей, хранение неиспользуемых программ в архивах);
· ревизия (обследование вновь получаемых программ на дискетах и дисках на наличие вирусов, систематическая проверка длин файлов, хранящихся на винчестере, использование и постоянная проверка контрольных сумм при хранении и передаче программного обеспечения, проверка содержимого загрузочных секторов винчестера и используемых дискет системных файлов);
· фильтрация (разделение винчестера на логические диски с различными возможностями доступа к ним, использование резидентных программных средств слежения за файловой системой);
Подобные документы
Организация бухгалтерского учета на примере предприятия "Goliat-Vita" SRL, которое занимается производством мебели и обработкой древесины. Автоматизация учета информационной бухгалтерской системы предприятия. Структура и составление финансовой отчетности.
отчет по практике [419,0 K], добавлен 12.05.2015Доктрина информационной безопасности Российской Федерации. Проверка используемых компанией информационных систем с последующей оценкой рисков сбоев в их функционировании. Закон "О персональных данных". Деление активного аудита на внешний и внутренний.
презентация [14,5 M], добавлен 27.01.2011Понятие и цели проведения аудита информационной безопасности. Анализ информационных рисков предприятия и методы их оценивания. Критерии оценки надежности компьютерных систем. Виды и содержание стандартов ИБ. Программные средства для проведения аудита ИБ.
дипломная работа [1,7 M], добавлен 24.06.2015Изучение организации работы бухгалтерии торговой компании на примере ООО "ТК Карел-Импэкс". Анализ техники и формы осуществления бухгалтерского учета. Содержание рабочего плана счетов и особенности учета денежных средств и расчетов с подотчетными лицами.
отчет по практике [247,0 K], добавлен 11.02.2011Основные направления деятельности в области аудита безопасности информации как проверки соответствия организации и эффективности защиты информации установленным требованиям и/или нормам. Этапы экспертного аудита. Понятие аудита выделенных помещений.
лекция [803,6 K], добавлен 08.10.2013Определение корпоративной информационной системы, базовые элементы и состав. Определение и функции, особенности разработки системы электронного документооборота. Классификация СЭД по месту разработки и по функционалу. Основные преимущества и недостатки.
презентация [1,1 M], добавлен 23.01.2017Задачи, которые решаются в ходе аудита защищенности информационной системы. Этапы экспертного аудита. Тест на проникновение (пентест) в информационную систему: объекты, этапы. Цели проведения аудита web–приложений. Аудит на соответствие стандартам.
отчет по практике [26,0 K], добавлен 22.09.2011Сущность и понятие информационной системы. Особенности бухгалтерских информационных систем. Требования к программному обеспечению и процесс разработки информационной системы. Характеристика программ автоматизации бухгалтерского учета ООО "Уралконфи".
курсовая работа [696,3 K], добавлен 14.03.2012Управленческий учёт как составная часть информационной системы предприятия. Виды, принципы, цели и методы бухгалтерского управленческого учета, требования к предоставляемой информации. Различия и взаимосвязь управленческой и финансовой бухгалтерии.
курсовая работа [538,3 K], добавлен 12.12.2010Особенности построения учетного процесса как единой информационной системы. Понятие, сущность и методика судебно-экономической экспертизы. Формирование рациональной структуры аппарата бухгалтерии. Объекты и асубъекты судебно-бухгалтерской экспертизы.
контрольная работа [33,4 K], добавлен 13.10.2014
