Главная
Коллекция "Otherreferats"
Программирование, компьютеры и кибернетика
Система информационной безопасности на предприятии
Система информационной безопасности на предприятии
Наиболее распространенные угрозы и возможный ущерб, наступающий в результате несанкционированного распространения сведений, составляющих коммерческую тайну. Разработка концепции информационной безопасности, защита от взломов через интернет, Web-серверов.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | курсовая работа |
| Язык | русский |
| Дата добавления | 22.07.2009 |
| Размер файла | 33,4 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Министерство Образования Российской Федерации
Южно-Уральский Государственный Университет
Факультет экономики и предпринимательства
Кафедра экономики и экономической безопасности
Контрольная работа
По курсу: Защита информации
Тема: Система информационной безопасности на предприятии
Проверил:
Доц. Макаров Ю.Н______.
«___»____________2009 г.
Автор работы
Студент группы № 403
Багин Д.С.__________
«___»____________2009 г.
Челябинск - 2009
Содержание
- Введение
- 1. Бизнес-досье фирмы
- 2. Наиболее распространенные угрозы
- 3.Возможный ущерб, наступающий в результате несанкционированного распространения сведений, составляющих коммерческую тайну
- 4. Анализ случая утечки информации
- 5. Затраты на защиту сведений, относящихся к коммерческой тайне
- 6. Меры по защите информации на ООО «Формула»
- 6.1 Разработка концепции информационной безопасности организации
- 6.2 Защита организаций от взломов через интернет
- 6.3 Защита Web-серверов
- 6.4 Обеспечение доступности сетевых служб
- 6.5 Защита от несанкционированного доступа
- Список литературы
- Введение
- Выбор оптимальной стратегии защиты данных - очень сложная задача. Сегодня актуальным и эффективным является именно комплексный подход к построению системы информационной безопасности. Защита отдельных компонент не обеспечит безопасность информационной структуры организации в целом. В основе разработки комплексной системы безопасности лежит принцип создания последовательных рубежей защиты. На практике это означает - выделение ключевых направлений и создание целостной системы защиты, в которой каждое звено является надежно защищенным и гарантирует обеспечение безопасности всей сети.
- В данной работе я попытался разработать комплексную систему безопасности на предприятии.
1. Бизнес-досье фирмы
ООО «Формула»
Сфера деятельности: производство художественных изделий
Число занятых на предприятии 51 человек.
Основное направление деятельности предприятия:
производство художественных изделий (гравюры на металле, резьба по дереву)
Общая площадь 300 м2, складское помещение 56 м2, производственное помещение 150 м2 , остальная площадь используется управленческим аппаратом, финансовым и коммерческим отделами, бухгалтерией.
2. Наиболее распространенные угрозы
Непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.
Иногда такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования).
Весьма опасны так называемые "обиженные" сотрудники - нынешние и бывшие. Как правило, они стремятся нанести вред организации-"обидчику", например:
- испортить оборудование;
- встроить логическую бомбу, которая со временем разрушит программы и/или данные;
- удалить данные.
Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны нанести немалый ущерб. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались.
нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
ошибки при (пере)конфигурировании системы;
отказы программного и аппаратного обеспечения;
разрушение данных;
невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.).
Одним из опаснейших способов проведения атак является внедрение в атакуемые системы вредоносного программного обеспечения.
Выделяют следующие грани вредоносного ПО:
- вредоносная функция;
- способ распространения;
- внешнее представление.
Интеграция разных сервисов, наличие среди них сетевых, всеобщая связность многократно увеличивают потенциал для атак на доступность, облегчают распространение вредоносного ПО.
Огромный ущерб наносят кражи и подлоги, т.е. введение неверных данных, изменение данных.
В большинстве случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и мерами защиты. Это еще раз подтверждает опасность внутренних угроз, хотя говорят и пишут о них значительно меньше, чем о внешних.
Основной угрозой конфиденциальности на моем предприятии является информация составляющая коммерческую тайну:
1. Сведения об особенностях используемых и разрабатываемых технологий и специфики их применений, способы производства и технология, сведения о структуре и масштабе производства, типе и размещении оборудования.
Сведения могут быть получены из выступлений на конференциях, при изучении экспонатов на выставках и ярмарках, от людей, владеющих коммерческой тайной, в результате подкупа данных людей, при установлении личных контактов с сотрудниками, при изучении продукции с целью исследования компонентов и технологии изготовления.
2. Анализ конкурентоспособности применяемой технологии.
Сведения могут быть получены из выступлений на конференциях, в рекламных изданиях, при публикации о фирме в центральной и местной периодической печати.
3. Объем выпуска и планы реализации продукции, уровень складских запасов. Сведения могут быть получены из публикаций о фирме в центральной и местной периодической печати, от людей, владеющих коммерческой тайной, в результате подкупа должностных лиц, при установлении личных контактов с сотрудниками, у статистических органов.
4. Планы инвестиций в новое строительство и реконструкцию производства.
Сведения могут быть получены из публикаций о фирме в центральной и местной периодической печати, от людей, владеющих коммерческой тайной, в результате подкупа должностных лиц, при установлении личных контактов с сотрудниками, у консультационных фирм, страховых фирм
5. Характер и условия заключенных контрактов. Сведения могут быть получены от людей, владеющих коммерческой тайной, в результате подкупа должностных лиц, при установлении личных контактов с сотрудниками, посреднических контор.
6. Методы и организация управления. Сведения могут быть получены от людей, владеющих коммерческой тайной, в результате подкупа должностных лиц, при установлении личных контактов с сотрудниками.
7. Сведения о поставщиках, потребителях, посредниках, конкурентах.
8. Сведения могут быть получены от людей, владеющих коммерческой тайной, в результате подкупа должностных лиц, при установлении личных контактов с сотрудниками, от посреднических контор, в статьях, от правоохранительных органов, из банковской документации.
9. Состояние расчетов с торговыми клиентами.
Сведения могут быть получены от людей, владеющих коммерческой тайной, в результате подкупа должностных лиц, при установлении личных контактов с сотрудниками, от посреднических контор, от правоохранительных органов, из банковской документации, в результате запросов налоговыми органами, от адвокатских контор.
10. Размер прибыли и уровень себестоимости продукции.
Сведения могут быть получены от людей, владеющих коммерческой тайной, в результате подкупа должностных лиц, при установлении личных контактов с сотрудниками, от посреднических контор, из банковской документации, в результате запросов налоговыми органами, от страховых компаний, из статей.
11. Банковские и торговые операции, организация и размер оборота средств, уровень платежеспособности предприятия
Сведения могут быть получены от людей, владеющих коммерческой тайной, в результате подкупа должностных лиц, при установлении личных контактов с сотрудниками, от посреднических контор, из банковской документации, в результате запросов налоговыми органами.
12. Сведения о финансовом положении поставщиков, потребителей, посредников.
Сведения могут быть получены от людей, владеющих коммерческой тайной, в результате подкупа должностных лиц, при установлении личных контактов с сотрудниками, от посреднических контор, из банковской документации, в результате запросов налоговыми органами, от правоохранительных органов, адвокатских контор.
3. Возможный ущерб, наступающий в результате несанкционированного распространения сведений, составляющих коммерческую тайну
Появляются (или искусственно создаются конкурентами) трудности в закупках сырья, технологии, оборудования.
Фирма не выполняет договорные обязательства перед Покупателями (сроки, объемы). Теряет престиж на рынке.
Ограничивается сотрудничество предприятия с деловыми партнерами, снижается вероятность заключения выгодных контрактов, возникают проблемы в выполнении договорных обязательств.
Уменьшение объема производства и реализации продукции ведет к недополучению прибыли, увеличению условно-постоянных расходов.
Простой и форсирование производства оборачивается дополнительными расходами по заработной плате с отчислениями на социальное страхование, санкциями.
Приобретение сырья и материалов у других поставщиков сопровождается дополнительными расходами.
Разглашение об используемых технологиях может привести к необходимости изменения ассортимента изготавливаемой продукции, что ведет к большим расходам.
4. Анализ случая утечки информации на моем предприятии
Посредством подкупа должностных лиц путем оплаты по трудовым соглашениям за выполнение работы по техническому обслуживанию компьютерной техники фирмы конкурента появилась возможность через компьютерную сеть с помощью паролей доступа к внутренней сети моей компании (предоставленными вышеназванными должностными лицами) получать финансовою информацию о состоянии расчетов с поставщиками и потребителями, условиями контрактов (ценами, объемами, условиями оплаты).
Утечка информации была обнаружена сообщением компьютера о подключении дополнительного пользователя к компьютеру одного из сотрудников финансового отдела нашей фирмы.
Было проведено служебное расследование.
Утечка информации привела к оттоку части потребителей, потери поставщиков,.
Использование финансовых данных о проведении платежей и существующей задолженности позволила нашим кредиторам, в лице поставщиков привлеченных этой конкурентной фирмой, качественно подготовиться к слушанию дела в Арбитражном суде, в результате чего решение суда вынесено не в нашу пользу.
Причинами утечки информации стали:
преднамеренное (корыстное) нарушение лицами, допущенными к работе с защищаемой коммерческой информации, правил защиты, что позволило обеспечить несанкционированный доступ к финансовой информации;
принятие недостаточных мер защиты информации работниками финансового отдела;
несовершенство нормативных актов ( не четко прописаны обязанности по защите информации в должностной инструкции).
Условия, которые создали возможность утечки информации:
слабая воспитательно-профилактическая работа в коллективе;
недостаточное внимание со стороны руководителей к вопросам обеспечения режима секретности;
несовершенная должностная инструкция:
участие сотрудников предприятия, осведомленных в коммерческой информации, по совместительству в других фирмах.
После проведения должностного расследования приведены в соответствие должностные инструкции, проблема защиты информации проработана с каждым членом коллектива, запрещена работа по совместительству, виновные уволены в соответствии со п. 1 ст. 254 КЗоТ.
5. Затраты на защиту сведений, относящихся к коммерческой тайне
Трудовые затраты:
создание дополнительных рабочих мест службы безопасности:
главного специалиста по защите информации;
вахтер;
специалист по обслуживанию охранного оборудования.
Материальные затраты:
приобретение и установка:
турникет;
изготовление пропусков;
приобретение видеокамеры;
датчики движения, шума, объема;
создание хранилища;
защита компьютерных сетей.
Финансовые затраты:
оплата услуг:
вневедомственной охраны;
специализированных организаций по обслуживанию и ремонту приборов;
заработная плата и налоги службы безопасности.
6. Меры по защите информации на ООО «Формула»
Для нашего предприятия в целях создания комплексной системы защиты информации целесообразно создание собственной службы безопасности.
Цели функционирования службы:
профилактика возникновения угроз безопасности;
выявление реальных действий конкурентов, партнеров и персонала, наносящих ущерб предприятию;
пресечение выявленных нарушений безопасности;
ликвидация негативных последствий и восстановление либо повышение первоначального уровня безопасности.
Для этого необходимо:
1. четкое определение круга лиц, имеющих доступ к определенным сведениям, относящихся к коммерческой тайне в силу занимаемого служебного положения.
2. разработка и периодическое обновление внутрифирменных нормативных документов, регламентирующих систему защиты информации:
должностные инструкции разрабатываются на основе следующих документов - для управленческого аппарата, коммерческого отдела, производственного отдела ГОСТ Р-6.30.97, конституция Российской Федерации, трудовой кодекс;
для финансового отдела и бухгалтерии трудовой кодекс, закон о бухгалтерском учете (№ 129-ФЗ от 21.11.96 г.)
Создание памятки содержащей законы, регламентирующие ответственность за разглашение коммерческой тайны УК РФ глава 28 ст. 272 «неправомерный доступ к компьютерной информации» наказывается штрафом от 200-500 мрод либо лишением свободы на срок до 5 лет., в соответствии с ч. 2 п. 2 ст. 139 ГК РФ возлагается обязанность возместить убытки.
3. создание системы охраны территории предприятия: организация пропускного режима, т.е контроль за посещениями предприятия посторонними лицами, в не рабочее время организация охраны имущества силами вневедомственной охраны.
4. организация делопроизводства с документами, содержащими коммерческую тайну - документы находятся в отдельном, охраняемом кабинете, выдаются под роспись в соответствии с допуском ответственным лицом, для документов определяется срок хранения по истечении которого документы уничтожаются.
5. контроль за средствами копирования и размножения документов, к средствам копирования отсутствует свободный доступ, назначается ответственное лицо из финансового отдела, которое регламентирует возможность копирования документов.
6. организация защиты информации в вычислительной технике
Система защиты оградит информационные ресурсы сети от наиболее распространенных типов атак как внешних, так и внутренних, направленных на вывод из строя серверов и уничтожения данных, от нежелательного проникновения в локальные вычислительные сети через "дыры" в операционных системах или трудно устранимые недостатки применяемых технологий, от целенаправленного вторжения в систему с целью получения конфиденциальной информации.
Выбор оптимальной стратегии защиты данных - очень сложная задача. Сегодня актуальным и эффективным является именно комплексный подход к построению системы информационной безопасности. Защита отдельных компонент не обеспечит безопасность информационной структуры организации в целом. В основе разработки комплексной системы безопасности лежит принцип создания последовательных рубежей защиты. На практике это означает - выделение ключевых направлений и создание целостной системы защиты, в которой каждое звено является надежно защищенным и гарантирует обеспечение безопасности всейсети.
Цель функционирования корпоративной системы защиты информации СЗИ - обеспечение защиты информации, обрабатываемой, передаваемой, хранимой в ИС, от преднамеренного или непреднамеренного разрушения, искажения и несанкционированного доступа, а также пресечение попыток нарушения целостности информации и работоспособности ИС.
Основные функции корпоративной СЗИ:
защита от несанкционированного доступа изнутри и извне (из общедоступных сетей, Интернета и т.д.);
антивирусная защита;
защищенный доступ пользователей в общедоступные сети и Интернет;
обнаружение атак (Intrusion Detection);
защита информационных потоков между ЛВС, рабочими станциями и серверами, а также в сетях Internet/Intranet;
идентификация пользователей ИС;
обеспечение доступности сетевых сервисов и серверов;
защита рабочих станций и серверов от несанкционированного доступа;
защита файловых и почтовых серверов;
резервное копирование.
Я выделяю следующие основные направления в области обеспечения информационной безопасности организации:
1.разработка концепции информационной безопасности организации;
2. защита организаций от взломов через Интернет;
3.защита Web-серверов;
4. обеспечение доступности сетевых служб и серверов;
5. защита от несанкционированного доступа.
6. техническая поддержка и сопровождение систем информационной безопасности.
6.1 Разработка концепции информационной безопасности организации
Анализ мирового и отечественного опыта обеспечения безопасности диктует необходимость создания целостной системы безопасности учреждения, взаимоувязывающей законодательные, организационные, технологические и технические меры защиты и использующей современные методы прогнозирования, анализа и моделирования ситуаций.
Обеспечение безопасности информационной системы современной организации должно реализовываться посредством системы защиты, под которой следует понимать комплекс мер и средств, направленных на выявление, парирование и ликвидацию различных видов угроз безопасности информации. При этом каждый объект защиты имеет специфику, которая должна найти свое отражение в общей системе защиты.
Все работы по обеспечению информационной безопасности необходимо проводить в комплексе с общими работами по безопасности. Объектом защиты должна явиться вся система обработки информации в организации. Таким образом, первым этапом проведения работ в области защиты информации должно быть проведение всестороннего обследования вопроса информационной безопасности. На этапе технического проектирования системы защиты должна быть произведена классификация информации, присутствующей в системе, и определены степени защиты для каждого класса информации, проведен анализ рисков и разработана политика безопасности организации.
Содержание общей политики информационной безопасности автоматизированных систем ООО «Факел» включает:
правовое обеспечение вопросов защиты информации (используются документы из задания № 1, должностные инструкции, нормативные документы);
модель угроз безопасности информации организации (несанкционированный доступ к информации; нарушение конституционный информационных прав и свобод личности; негативные информационные воздействия на личность);
перечень сведений, подлежащих защите (задания № 1);
основные направления обеспечения безопасности (защита организаций от взломов через Интернет; защита Web-серверов; создание защищенной телекоммуникационной инфраструктуры; защита от несанкционированного доступа).
требования к защите помещений (объект охраняется вневедомственной охраной используются датчики движения, объема, звука; контроль за посещениями предприятия посторонними лицами);
6.2 Защита организаций от взломов через интернет
Подключение организации к глобальной сети, такой как Internet, существенно увеличивает эффективность работы организации и открывает для нее множество новых возможностей. В то же время, организации необходимо позаботиться о создании системы защиты информационных ресурсов, от тех, кто захочет их использовать, модифицировать либо просто уничтожить. Сети, подключенные к Интернет, подвергаются риску быть атакованными злоумышленниками. Ошибки при проектировании сервисов TCP/IP, сложность конфигурирования серверов и ряд других причин в совокупности делают информационные системы организаций объектами деятельности злоумышленников. Связанные с этим проблемы, если их игнорировать, могут привести к серьезным последствиям.
Потенциальные угрозы, связанные с подключением корпоративной сети к Интернет:
Прерывание, то есть прекращение нормальной обработки информации вследствие разрушения вычислительных средств.
Кража, то есть чтение или копирование информации с целью получения данных, которые могут быть использованы против интересов владельца информации.
Модификация информации, то есть внесение несанкционированных изменений в данные, направленных на причинение ущерба владельцу информации.
Разрушение данных, то есть необратимое изменение информации, приводящее к невозможности ее использования.
При создании подключений к территориально-распределенным сетям необходимо рассмотрение проблем, ограничения и жесткого контроля точек входа во внутренние ЛВС из общедоступных сетей с помощью межсетевых экранов, которые в совокупности с системой управления и мониторинга эффективно защищают ресурсы ЛВС от нежелательной активности из общедоступных сетей.
Среди технических решений для организации защиты необходимо отметить межсетевое экранирование, защита от несанкционированного доступа, создание защищенного канала для системного администрирования, систему активного аудита и антивирусную защиту. Весь комплекс технических средств будет охватываться единой системой протоколирования действий субъектов защиты, администрирования, аудита всех компонент системы защиты, управления ключами.
К примеру импортные решения CheckPoint Firewall-1, Cisco PIX Firewall, Symantec Enterprise Firewall, и отечественные межсетевые экраны: ViPNet компании Инфотекс, Континент-К компании Информзащита, Застава компании Элвис+ и др.
Использовать в коммерческом отделе при разработках маркетинговых исследований.
Использовать данные средства для производственного отдела в плане дизайнерских разработок, разработки новых видов продукции, применения новых материалов и технологий.
6.3 Защита Web-серверов
Информационные Web технологии дают возможность Вашим коллегам, партнерам или клиентам получить доступ к необходимой для них информации. К сожалению, публичные серверы Web могут стать объектом атак, в результате которых репутации организации может быть нанесен урон или причинен материальный ущерб. Для предотвращения негативных последствий таких атак необходимо разработать систему информационной безопасности.
Основными угрозами для информации, хранящейся на Web-сервере, являются:
уничтожение, модификация и замена данных, а также особенно значимая для Web-сервера угроза, связанная с атакой, относящейся к категории распределенных атак, подавляющих обслуживание (Denial of Service, DoS). Вместе с тем, если предположить возможность взлома Web-сервера и проникновения в корпоративную сеть организации, то при этом возникают все потенциальные угрозы, связанные с подключением корпоративной сети к Интернет.
Среди технических решений для организации защиты Web-сервера необходимо отметить межсетевое экранирование, защиту от несанкционированного доступа, создание защищенного канала для системного администрирования, систему активного аудита и антивирусную защиту.
Антивирусные программы это - обнаружение, локализация и уничтожение вирусов обеспечиваются специальными антивирусными программами. Следует отметить, что имеются антивирусные программы, обеспечивающие предотвращение доступа вирусов к данным на внешних носителях информации. Такие средства являются полезным дополнением к общесистемным средствам, обеспечивающим защиту от деструктивных действий вирусов и блокирование их способности к размножению. Для защиты от программ-вирусов необходимо установить на все рабочие станции АВП. Их эффективность увеличивается при использовании АВП с централизованным управлением (например, для Windows NT Server), что дает возможность гибко управлять системой антивирусной защиты корпоративной сети. При этом желательно, чтобы АВП обладала функцией программы-монитора, которая способна проверять сетевые обращения во всей сети.
Активный аудит и мониторинг сети используется для защиты информационных ресурсов сети необходимо внедрить технологию активного аудита, включающую в себя функции контроля за работой пользователей как внутри корпоративной сети, так и контроля возможных атак со стороны внешних пользователей сети Интернет, а также функции сканирования на предмет выявления слабых мест в системе обеспечения информационной безопасности. Для осуществления непрерывного документированного контроля и своевременного реагирования на попытки "взлома" системы мы предлагаем в наших решениях оборудовать рабочее место администратора безопасности сети.
Использовать в финансовом отделе в плане защиты информации о движении денежных средств, расчетов с клиентами.
С целью оптимизации затрат система защиты Web-сервера должна быть построена таким образом, чтобы в последствии была возможность ее масштабирования до размеров сети. Несмотря на свою специфику, система защиты Web-сервера при работе в глобальных сетях должна быть продолжением общего комплекса усилий, направленных на обеспечение безопасности информационных ресурсов.
6.4 Обеспечение доступности сетевых служб
Многие сетевые сервисы требуют обеспечения высокого уровня доступности.
Т.е. с помощью административных, операционных и технических решений необходимо повысить следующие параметры информационной системы и поддерживающей инфраструктуры:
безотказность - минимизация вероятности возникновения какого-либо отказа;
живучесть - сохранение доступности системы, несмотря на отказ каких-либо компонентов;
обслуживаемость - минимизация времени неработоспособности отказавших компонентов, а также минимизация отрицательного влияния ремонтных работ на эффективность ремонтных сервисов.
Среди технических решений необходимо отметить резервирование отдельных критичных компонентов системы, внедрение централизованной системы резервного копирования, системы мониторинга работоспособности системы и др. Особое внимание необходимо уделить защите центральных серверов информационной системы от атак типа "отказ в обслуживании", которые характерны для операционной системы Windows. Рекомендуется выделить все критические сервера организации в отдельный контур безопасности, закрываемый от общей сети межсетевым экраном, который будет жестко контролировать доступ к сетевым сервисам.
Применение данных технических решений необходимо для каждого из отделов предприятия ООО «Факел». Сервер каждого отдела выделен в отдельный контур, чтобы было невозможно пользоваться данными другого отдела, т.е. данными не входящими в должностные обязанности.
6.5 Защита от несанкционированного доступа
Решение задачи защиты от несанкционированного доступа к ресурсам сети основано на анализе угроз и комплексном подходе к их решению.
Общая задача делится на ряд подзадач:
- Защита ключевых рабочих станций от включения и загрузки несанкционированным пользователем достигается применением программно-аппаратных средств защиты информации типа "электронный замок". В случае необходимости разделения полномочий пользователей по доступу к ресурсам рабочей станции (когда на одной рабочей станции возможна работа нескольких пользователей) применяются программно-аппаратные средства защиты информации от несанкционированного доступа, отвечающие требованиям Государственной технической комиссии по классу не ниже 3 (1В);
- Защита серверов достигается применением программно-аппаратных средств защиты информации, обеспечивающих разграничение прав доступа с рабочих станций пользователей к ресурсам сервера и отвечающих требованиям Государственной технической комиссии по классу не ниже 1В;
- Защита информации, хранимой на жестких дисках рабочих станций и серверов от угрозы ее получения при хищении или принудительном съеме жесткого диска достигается применением технологии прозрачного шифрования логических дисков.
Для создания функционально замкнутой системы защиты информации необходим следующий комплекс программно-аппаратных средств, направленных на защиту локальных рабочих станций и серверов:
- система аутентификации на рабочих станциях и серверах ЛВС, которая обеспечит надежную идентификацию пользователей при доступе к ресурсам ВС с помощью персональных ключей доступа (Touch Memory) и паролей;
- система протоколирования и аудита на серверах, позволяющая фиксировать все действия пользователей в зоне повышенной информационной ответственности и, в последующем, анализировать их с целью выявления критических операций, попыток нарушения режима информационной безопасности;
- система защиты от информационных сбоев (приводящих к искажению или порче информации), важными элементами которой являются заложенные в отдельные элементы ИC решения по резервированию, системы резервного копирования, применение отказоустойчивых кластерных комплексов для центров обработки и хранения информации и т.п.
Таким образом достигается защита информации от несанкционированного доступа на всех этапах ее обработки. Для централизованного управления средствами и настройками безопасности предлагаю организацию выделенного места Администратора безопасности. В качестве компонент комплексного решения предлагаю средства ведущих российских производителей и ориентируется в первую очередь на средства, имеющие сертификат Государственной технической комиссии или ФАПСИ, либо проходящие сертификацию в этих органах.
К сожалению в силу большой стоимости не смогу использовать на своем предприятии очень эффективные средства защиты как защита сетевых соединений, которая достигается применением усиленной аутентификации рабочих станций и серверов, основанной на технологиях цифровой подписи, шифрования IP-пакетов и инкапсуляции IP-пакетов, и защита сетевого трафика достигается применением средств шифрования IP-пакетов и их цифровой подписи.
Список литературы
1. Справочник директора предприятия. / под ред. М.Г. Лапусты. Изд. 3-е, - М: ИНФРА-М, 2008г.
2. Конституция РФ.
3. Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» от 06.03.97 г.,
4. Постановление Правительства РФ «О перечне сведений, которые не могут составлять коммерческую тайну» от 5.12.91 г.
5. Гражданский кодекс РФ.
6. Крысин А.В. Безопасность предпринимательской деятельности. - М: Финансы и статистика, 2001 г.
Подобные документы
Перечень сведений, составляющих коммерческую тайну. Политика информационной безопасности. Основные положения информационной безопасности фирмы. План мероприятий по защите коммерческой тайны. Мероприятия по защите информации в компьютерной сети.
курсовая работа [2,0 M], добавлен 17.02.2011Классы информационных объектов, а также производственные системы и процессы на предприятии, подлежащих защите. Предполагаемые угрозы и нарушители информационной безопасности, внешние и внутренние. Защита от несанкционированного доступа в организации.
курсовая работа [36,0 K], добавлен 14.02.2016Постоянный рост темпов развития и распространения информационных технологий. Концепции информационной безопасности. Объектами защиты на предприятии. Структура, состав и принципы обеспечения информационной безопасности. Постоянный визуальный мониторинг.
реферат [78,4 K], добавлен 23.07.2013Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Характеристика предприятия и его деятельности, описание помещений. Перечень сведений, составляющих коммерческую тайну. Обеспечение информационной безопасности. Система контроля и управления доступом на объект, комплекс защиты корпоративной сети.
курсовая работа [1,7 M], добавлен 27.11.2012Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Защита выделенного помещения. Структурирование защищаемой информации. Перечень сведений, составляющих государственную или коммерческую тайну. Моделирование угроз безопасности информации. Каналы утечки информации. Скорость распространения носителя.
курсовая работа [66,4 K], добавлен 22.02.2011Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Обеспечение информационной безопасности в современной России. Анализ методов защиты информации от случайного или преднамеренного вмешательства, наносящего ущерб ее владельцам или пользователям. Изучение правового обеспечения информационной безопасности.
контрольная работа [27,8 K], добавлен 26.02.2016Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.
контрольная работа [30,5 K], добавлен 18.09.2016
