Размещено на http://www.allbest.ru/

Министерство сельского хозяйства РФ

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

Пермская государственная сельскохозяйственная академия

имени академика Д.Н. Прянишникова"

Кафедра: Информационных технологий и автоматизированного проектирования

Курсовой проект

по дисциплине "Информационная безопасность и защита информации"

на тему: Совершенствование системы информационной безопасности в МБОУ ДПО "ММЦ"

Студент Боголюбов Д.С.

Руководитель: к.э.н., доцент Глотина И.М.

Пермь 2014 г.

Содержание

Введение

1. Анализ информационной безопасности МБОУ ДПО "ММЦ"

1.1 Общие сведения об учреждении

1.2 Характеристика информационных ресурсов учреждения

1.3 Угрозы информационной безопасности, характерные для данного учреждения

1.4 Меры, методы и средства защиты информации

2. Совершенствование системы информационной безопасности

2.1 Недостатки в системе защиты информации

2.2 Анализ риска

2.3 Цели и задачи формирования системы ИБ

2.4 Модель информационной системы с позиции безопасности

2.5 Предлагаемые мероприятия по совершенствованию системы защиты

2.6 Эффективность предложенных мероприятий

Заключение

Список использованных источников

Введение

Информация - это одна из самых важных ценностей в современной жизни. С массовым внедрением компьютеров во все сферы деятельности человека объем информации, хранимой в электронном виде, вырос в тысячи раз. И теперь скопировать любой файл не составляет большого труда. А с появлением компьютерных сетей и Интернета даже отсутствие физического доступа к компьютеру перестало быть гарантией сохранности информации.

Одной из причин неуемного роста компьютерных преступлений является сумма денег, получаемая в результате таких деяний. В то время как ущерб при ограблении банка - $19 000, потери от среднего компьютерного преступления составляют почти в 30 раз больше.

Согласно информации исследовательского центра DataPro Research, основные причины повреждений электронной информации распределились следующим образом: неумышленная ошибка человека - 52 % случаев, умышленные действия человека - 10 % случаев, отказ техники - 10 % случаев, повреждения в результате пожара - 15 % случаев, повреждения водой - 10 % случаев. Как видим, каждый десятый случай повреждения электронных данных связан с компьютерными атаками.

Кто же был исполнителем этих действий: в 81 % случаев - штатные сотрудники учреждений, только в 13 % случаев - совершенно посторонние люди, и в 6 % случаев - бывшие работники этих же учреждений. Доля атак, производимых сотрудниками компаний и предприятий, просто ошеломляет и заставляет вспомнить не только о технических, но и о психологических методах профилактики подобных действий.

"Добравшись" до информации, что же предпринимают злоумышленники? В 44 % случаев взлома были произведены непосредственные кражи денег с электронных счетов, в 16 % случаев выводилось из строя программное обеспечение, в 16 % случаев - производилась кража информации с различными последствиями, в 12 % случаев информация была фальсифицирована, а в 10 % случаев злоумышленники с помощью компьютера воспользовались либо заказали услуги, к которым, в принципе, не должны были иметь доступа.

Тема разработки политики информационной безопасности на предприятиях, фирмах и организациях актуальна в современном мире. Информационная безопасность (на уровне предприятий и организаций) - это защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести недопустимый ущерб субъектам информационных отношений.

В учреждении действует современная локальная вычислительная сеть и установлено необходимое программное обеспечение, а также существует выход в Internet. При существовании такого количества информационных ресурсов, необходимо и наличие политики информационной безопасности. В данном учреждении необходимо совершенствовать политику информационной безопасности для минимизации угроз информационной безопасности, что и является целью для данного курсового проекта. Угроза информационной безопасности - это реальное или потенциальное действие, направленное на нарушения информационной безопасности, приводящие к материальному и моральному ущербу.

1. Анализ информационной безопасности МБОУ ДПО "ММЦ"

1.1 Общие сведения об учреждении

Муниципальное бюджетное образовательное учреждение дополнительного профессионального образования "Межшкольный методический центр", является некоммерческой организацией, созданной для выполнения работ, оказания услуг в целях обеспечения реализации предусмотренных законодательством Российской Федерации полномочий Кочевского муниципального района в сфере образования.

ММЦ создано в соответствии с постановлением главы Кочевского муниципального района от 24.10.2006 № 366 "О создании межшкольного методического центра". информационный компьютерный программный

ММЦ осуществляет свою деятельность в соответствии с Законом Российской Федерации "Об образовании", Федеральным законом "О некоммерческих организациях", федеральными законами и иными нормативными правовыми актами Российской Федерации, законами Пермского края и иными правовыми актами Пермского края, нормативными правовыми актами органов, осуществляющих управление в сфере образования, а также настоящим Уставом.

Местонахождение МБОУ ДПО "ММЦ" 619320, Пермский край, Кочевский район, с. Кочёво, ул. Первомайская, д. 3

1.2 Характеристика информационных ресурсов учреждения

Согласно ФЗ "Об информации, информационных технологиях и о защите информации", к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

В МБОУ ДПО "ММЦ" общедоступная информация представлена на сайте компании или может быть предоставлена менеджерами кампании. К такой информации относится:

· Сведения, содержащиеся в уставе организации.

· Финансовая отчетность.

· Состав руководства.

· Контактные данные.

1.3 Угрозы информационной безопасности, характерные для данного учреждения

Под угрозой информационной безопасности понимается потенциальная возможность нарушения основных качеств или свойств информации - доступности, целостности и конфиденциальности. Основным типом угрозы информационной безопасности для данной фирмы можно считать несанкционированный доступ к информации, относящейся к коммерческой тайне.

По способам воздействия на объекты информационной безопасности угрозы, актуальные для общества, подлежат следующей классификации: информационные, программные, физические, организационно-правовые.

К информационным угрозам относятся:

· несанкционированный доступ к информационным ресурсам;

· хищение информации из архивов и баз данных;

· противозаконный сбор и использование информации.

К программным угрозам относятся:

· компьютерные вирусы и вредоносные программы.

К физическим угрозам относятся:

· уничтожение или разрушение средств обработки информации и связи;

· хищение носителей информации;

· воздействие на персонал.

Одной из самых распространенных угроз информационной безопасности являются сбои и отказы программного обеспечения, технических средств фирмы, поскольку оборудование зачастую даже самое новое дает сбои, также предприятию могут поставить технически некачественное оборудование.

В МБОУ ДПО "ММЦ" может возникнуть ситуация несанкционированного физического доступа к техническим средствам, являющимися источникам информации, также кража носителя с важной информацией (флешка, внешний жесткий диск и т.д.) или только данных.

К угрозам программного обеспечения можно отнести различное вредоносное ПО, потеря паролей, незащищенность используемого ПО, а также отсутствие системы резервного копирования.

1.4 Меры, методы и средства защиты информации

Законодательный уровень защиты представляет собой совокупность законодательных актов в области информации и информационных технологий. К этому уровню относятся: Конституция РФ, Гражданский кодекс РФ, Уголовный кодекс РФ, ФЗ "Об информации, информационных технологиях и защите информации".

К используемым мерам процедурного уровня по защите информации в МБОУ ДПО "ММЦ" можно отнести то, что проход в здании осуществляется только по предварительной договоренности, а так же в здании установлена сигнализация. Так же заключён договор на охрану помещений с вневедомственной охраной.

Рассмотрим средства защиты информации, применяемые в учреждении. Всего их существует четыре (аппаратные, программные, смешанные, организационные).

Аппаратные средства защиты - замки, решетки на окнах, защитная сигнализация, сетевые фильтры.

Программные средства защиты: используются средства операционной системы, такие как защита, паролем, учетные записи.

Организационные средства защиты: подготовка помещений с компьютерами.

На программно-аппаратном уровне по защите информации применяются следующие меры:

· Использование антивирусной программы на всех компьютерах (Kaspersky Anti-Virus)

· Использование специальных логин / паролей для авторизации в базах данных.

· Использование встроенных средств Windows для авторизации пользователя компьютера.

2. Совершенствование системы информационной безопасности

2.1 Недостатки в системе защиты информации

Некоторые из угроз информационной безопасности, такие как несанкционированное получение доступа, некорректная работа программного обеспечения или технические сбои, достаточно успешно нейтрализуются грамотной настройкой и администрированием сети, однако мер для предотвращения внутренних угроз не существует.

В процессе анализа существующей системы информационной безопасности в МБОУ ДПО "ММЦ" были выделены следующие недостатки:

· Пароли не отвечают требованиям сложности или у некоторых сотрудников просто не используются.

· Отсутствуют ограничения по форматам и размерам передаваемых данных через интернет (*.mp3,*.avi,*.rar) для определенных сотрудников.

· Некоторые сотрудники хранят конфиденциальную информацию в общедоступных папках просто из-за собственной невнимательности, а так же хранят логин / пароль от информационных систем требующих авторизации в легкодоступных местах на рабочем столе.

2.2 Анализ риска

Идентифицировать и оценить активы, разработать модель нарушителя и модель угроз, идентифицировать уязвимости - все это стандартные шаги, описание которых должно присутствовать в любой методике анализа рисков. Все перечисленные шаги могут выполняться с различным уровнем качества и детализации. Очень важно понять, что и как можно сделать с огромным количеством накопленной информации и формализованными моделями. На наш взгляд, этот вопрос наиболее важен, и ответ на него должна давать используемая методика анализа рисков.

Полученные результаты необходимо оценить, агрегировать, классифицировать и отобразить. Так как ущерб определяется на этапе идентификации и оценки активов, необходимо оценить вероятность событий риска. Как и в случае с оценкой активов, оценку вероятности можно получить на основании статистики по инцидентам, причины которых совпадают с рассматриваемыми угрозами ИБ, либо методом прогнозирования - на основании взвешивания факторов, соответствующих разработанной модели угроз.

Хорошей практикой для оценки вероятности станет классификация уязвимостей по выделенному набору факторов, характеризующих простоту эксплуатации уязвимостей. Прогнозирование вероятности угроз проводится уже на основании свойств уязвимости и групп нарушителей, от которых исходят угрозы.

В качестве примера системы классификации уязвимостей можно привести стандарт CVSS - common vulnerability scoring system. Следует отметить, что в процессе идентификации и оценки уязвимостей очень важен экспертный опыт специалистов по ИБ, выполняющих оценку рисков, и используемые статистические материалы и отчеты по уязвимостям и угрозам в области информационной безопасности.

Величину (уровень) риска следует определить для всех идентифицированных и соответствующих друг другу наборов "актив - угроза". При этом величина ущерба и вероятности не обязательно должны быть выражены в абсолютных денежных показателях и процентах; более того, как правило, представить результаты в такой форме не удается. Причина этого - используемые методы анализа и оценки рисков информационной безопасности: сценарный анализ и прогнозирование.



Рисунок 1 - Элементы оценки рисков информационной безопасности

Процесс оценки риска информационной безопасности выглядит следующим образом:

1) Определение информационных активов, установление ценности активов;

2) Анализ угроз, определение вероятности угроз

3) Идентификация уязвимостей информационных активов, определение степени уязвимости

4) Вычисление вероятности наступления события по реализации угроз (использованию уязвимостей)

5) Сочетая важность информационных активов и возможность возникновения инцидентов, выполняется расчет значения риска информационной безопасности для информационного актива.

Формула риска:

Risk = R (A, T, V) = R (L (T, V), F (Ca, Va))

где R - функция вычисления риска,

A - активы,

T - угрозы,

V - уязвимости,

Ca - стоимость активов, принесенная инцидентом,

Va - степень уязвимости,

L - возможность угрозы привести к инцидентам с помощью уязвимостей,

F - потери, вызванные событиями безопасности.

2.3 Цели и задачи формирования системы ИБ

Сотрудники учреждения зачастую не осознают, что от должной организации целостности баз данных и документов, поддержание их в упорядоченном виде напрямую зависит скорость деятельности фирмы и, следовательно, ее конкурентоспособность, а значит уровень их заработной платы.

Самую большую угрозу для функциональности электронной бухгалтерии представляют различные вирусы, попадающие на компьютеры в сети через интернет, а так же возможность доступа в электронные справочники и документы посторонних лиц.

Цели защиты информации - предотвращение угроз безопасности учреждения вследствие несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации или иных форм незаконного вмешательства в информационные ресурсы и информационных системах.

Задачи формирования системы информационной безопасности в учреждении являются: целостность информации, достоверность информации и ее конфиденциальность. При выполнении поставленных задач, цель будет реализована.

2.4 Модель информационной системы с позиции безопасности

Рисунок 2 - Модель ИС с позиции безопасности

Для начала, чтобы войти в систему пользователь должен ввести свой логин и пароль. При верном указании логина и пароля пользователю разрешается вход в систему, и даются права для работы в самой системе и в интернете (в соответствии с разграничением прав пользователей). Если же пароль введен не верно, то осуществляется блокировка пользователя. Все успешные и неуспешные попытки войти в систему записываются в журнале событий.

С помощью антивирусной программы ведется постоянная проверка системы на наличие вирусов. Если пользователь работает в интернете, то все данные полученные из сети проходят проверку на вирусы, тем самым пользователю предоставляется только безопасная информация. В целях сохранения важной информации производиться резервное копирование данных. Все отчеты о копировании отправляются системному администратору.

2.5 Предлагаемые мероприятия по совершенствованию системы защиты

Для устранения выявленных недостатков в системе информационной безопасности МБОУ ДПО "ММЦ" предлагается ввести следующие меры:

На законодательном уровне никаких изменений по введению новых мер по обеспечению информационной безопасности не намечено.

Необходимо ввести меры административного уровня в политике безопасности организации. На административном уровне предлагается:

· Создать ряд инструкций по информационной безопасности внутри фирмы для отдельных категорий работников (изменить и хранить пароли в недоступных местах, запретить посещение сторонних ресурсов и т.д.).

· Предусмотреть ряд мотивационных мероприятий для заинтересованности сотрудников в соблюдении политики безопасности, а так же наказания за грубое нарушение политики безопасности фирмы. (премии и штрафы)

Для совершенствования системы безопасности на процедурном уровне предлагается следующий ряд мер:

· Ограничить доступ посторонних людей в некоторые отделы фирмы.

· Провести ряд консультационных мероприятий с сотрудниками организации по вопросам информационной безопасности и инструкциям по соблюдению политики безопасности.

На программно-аппаратном уровне предлагается ввести следующие меры:

· Обязать всех сотрудников использовать пароли для доступа к базе 1С и более тщательно разграничить доступ к определенным данным базы (справочникам, документам и отчетам) всех сотрудников.

· Необходимо изменить все стандартные логины и пароли для доступа к ADSL-Роутеру, необходимо чтоб пароли соответствовали уровню сложности.

Таким образом, мы определились с изменениями в существующей системе информационной безопасности МБОУ ДПО "ММЦ". Среди этих изменений ключевым является работа с персоналом, поскольку какие бы совершенные программные средства защиты информации не внедрялись, тем не менее, всю работу с ними осуществляет персонал и основные сбои в системе безопасности организации вызываются, как правило, персоналом. Правильно мотивированный персонал, нацеленный на результат деятельности - это уже половина того, что необходимо для эффективной деятельности любой системы.

2.6 Эффективность предложенных мероприятий

Самым главным преимуществом обновленной системы безопасности на предприятии МБОУ ДПО "ММЦ" являются изменения в отношении персонала. Большинство проблем в существовавшей системе безопасности вызывалось именно персоналом.

Преимущества использования Kaspersky Anti-Virus:

· Современные технологии.

· Устанавливается как на сервер, так и на рабочие станции.

· Активная защита от неизвестных угроз.

· Применение интеллектуальных технологий, сочетающих эвристический и сигнатурный методы детектирования.

· Регулярное автоматическое обновление сигнатурных баз.

· Фильтрация почтового и веб-контента.

· Полное сканирование всей входящей корреспонденции через протоколы POP3 и POP3s.

· Сканирование входящей и исходящей электронной почты.

· Подробный отчет по обнаруженным вредоносным программам.

· Полная интеграция в популярные почтовые клиенты: Microsoft Outlook, Outlook Express, Windows Mail, Windows Live Mail, Mozilla Thunderbird и The Bat!.Ограничение типов и объемов, передаваемых и принимаемых через интернет сотрудниками файлов, во-первых, ограничит утечку какой-либо важной для организации информации, а во-вторых, снизит нагрузку на сеть интернет, поскольку каналы передачи данных не будут заняты передачей посторонней информации.

· Централизованное управление.

Kaspersky Anti-Virus автоматически формирует отчет по обнаруженным инфицированным объектам, отправленным в карантин, по динамике угроз, событиям, проверкам, задачам, можно сформировать различные комбинированные отчеты и т.д.

Качественная антивирусная и сетевая защита позволит избежать нарушений в работе компьютеров. Такие улучшения коснутся надежности работы организации. Автоматическое резервное копирование информации позволит обеспечить ее целостность и сохранность, а архивирование обеспечит возможность быстрого восстановления ее в необходимых ситуациях.

Заключение

В процессе выполнения курсового проекта был проведен анализ средств информационной безопасности МБОУ ДПО "ММЦ". Был произведен анализ информационных ресурсов учреждения, анализ угроз ИБ.

Выполнение предложенных мер по устранению недостатков позволит учреждению повысить эффективность средств защиты и сократить риск потери информации. Следует отметить, что процесс организации или реорганизации информационной безопасности это комплексный процесс, в котором взаимодействуют одновременно программы, персонал и техника.

Для решения проблемы обеспечения информационной безопасности необходимо применение законодательных, организационных и программно-технических мер, что позволит полностью ликвидировать ее.

Список использованных источников

1. Федеральный закон Российской Федерации от 27 июля 2006 г. №149-ФЗ "Об информации, информационных технологиях и о защите информации"

2. Галатенко, В.А. Основы информационной безопасности. - М.: Интуит, 2003

3. Мельников В.В. Безопасность информации в автоматизированных системах. - М.: Финансы и статистика, 2003. - 368 С.

4. Информационная безопасность. - Режим доступа: http://www.aup.ru/books/m6/8_4.htm

5. http://www.globez.ru/press/148-informatsionnaya-bezopasnost-predpriyatiya.html

6. http://kochovommc.ucoz.ru/

Размещено на Allbest.ru