Анализ системы информационной безопасности в организации ООО "Мегаспорт"
Общие понятия о защите информации. Комплексная политика информационной безопасности. Применение специальной системы Microsoft Windows XP Professional, обеспечивающей выполнение требований руководящих документов по защите информации и персональных данных.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | отчет по практике |
Язык | русский |
Дата добавления | 04.06.2014 |
Размер файла | 24,5 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru
Размещено на http://www.allbest.ru
Содержание
Введение
1. Теоретическая часть: общие понятия о защите информации
2. Анализ информационной системы, функционирующей в отделе кадров организации ООО «МЕГАСПОРТ»
Заключение
информация защита безопасность
Введение
В соответствии с учебным планом специальности «Информатика и вычислительная техника» СГА, мною пройдена преддипломная практика. Место прохождения практики: сеть магазинов розничной торговли ООО «Мегаспорт» в отделе информационной безопасности. Период прохождения практики составил три недели.
Цели преддипломной практики:
- ознакомление с деятельностью компьютерных и автоматизированных систем в сети магазинов розничной торговли ООО «Мегаспорт»;
- закрепление и расширение приобретенных в учебном заведении теоретических знаний на основе практического участия в автоматизации деятельности сети магазинов розничной торговли ООО «Мегаспорт»;
- сбор, систематизация и обобщение информации о функционировании компьютерной сети в ООО «Мегаспорт»;
- исследование системы информационной безопасности сети магазинов розничной торговли ООО «Мегаспорт».
- дать конкретное представление о деятельности системного администратора на конкретном рабочем месте, получить навыки работы в области информатики и вычислительной техники.
Цель работы: анализ информационной системы, функционирующей в отделе кадров организации ООО «МЕГАСПОРТ».
В подразделениях компании функционирует несколько программных систем, поэтому требуется выяснить, как построена обрабатывающая данные система и какие меры защиты принимаются в ходе работы персонала.
Работа состоит из двух глав, заключения, списка использованных источников, списка сокращений и приложений.
1. Теоретическая часть: общие понятия о защите информации
Проблемы защиты информации возникли от нежелательного постороннего доступа, когда по каким-либо причинам ею не целесообразно делится с посторонними людьми. С переходом на использование технических средств связи информация подвергается воздействию случайных процессов (неисправностям и сбоям оборудования, ошибкам операторов и т.д.), которые могут привести к ее разрушению, изменению на ложную, а также создать предпосылки доступа к ней посторонних лиц. С появлением сложных автоматизированных систем управления, связанных с автоматизированным вводом, хранением, обработкой и выводом информации, проблемы ее защиты приобретают еще большее значение.
Средства безопасности используются повсеместно, например, в государственных системах, здравоохранения и банковских системах, основывающиеся на безналичном обороте средств. А. Зажвини и З. Шукур проанализировали проблемы системы безопасности и конфиденциальности. В своей работе Д. Клаессенс и др. обсуждают безопасность современных электронных банковских систем. Р.И.Баженов, Д.К. Лопатин исследовали применение интеллектуальных систем в различных областях. И.В. Котенко и Р.М. Юсупов рассматривают основные направления научных исследований в этой области. В.И. Аверченков, М.Ю. Рытов и Т.Р. Гайнулин рассматривают подход к решению задачи автоматизации проектирования систем инженерно-технической защиты информации путем создания специализированной объектно-ориентированной системы автоматизированного проектирования. В.В. Волобуев и В.М. Довгаль представили архитектуру информационной системы вуза с использованием стационарных терминалов. В.И. Харитонов и А.В Поповкин рассматривают вопросы обеспечения компьютерной безопасности. В работе M. Лейтнер, и С. Рандерл уклон сделан на изучение безопасности информационных систем в области шпионажа, что, как показывает их исследование, является слабо изученным направлением. Р. Суммерса и С.А. Куржбанб рассматривают методы, основанные на знаниях, имеющихся у экспертов, практикующих системы безопасности.
В современном мире понятие «политика информационной безопасности» может трактоваться как в широком, так и в узком смысле. Что касается первого, более широкого значения, она обозначает совокупную систему решений, которые приняты некоей организацией, документированы официально и направлены на обеспечение безопасности предприятия. В тесном понимании под этим представлением кроется документ местного значения, в котором оговорены требования безопасности, система проводимых мер, ответственность работников и механизм контроля.
Комплексная политика информационной безопасности является гарантией стабильного функционирования любой компании. Всесторонность ее заключается в продуманности и сбалансированности степени охраны, а также разработке верных мер и системы контроля в случае каких-нибудь нарушений. Все организационные способы играют значимую роль в создании верной схемы защиты информации, так как нелегальное применение информации является итогом злоумышленных действий, небрежности персонала, а не технических неполадок.
Для достижения отменного результата необходимо комплексное взаимодействие организационно-правовых и технических мер, которые обязаны исключать все несанкционированные проникновения в систему. Информационная безопасность - это гарантия спокойной работы компании и ее стабильного становления. Впрочем, в основе построения качественной системы защиты обязаны лежать результаты на такие вопросы: Какова система данных и какая степень серьезности защиты понадобится? Кто в состоянии нанести вред компании при помощи нарушения функционирования информационной системы и кто может воспользоваться полученными сведениями? Как можно свести подобный риск до минимума, не нарушая при этом слаженную работу организации?
Концепция информационной безопасности, таким образом, должна разрабатываться персонально для определенного предприятия и согласно его интересам. Основную роль в ее качественных характеристиках играют организационные мероприятия, к которым можно отнести:
Организацию налаженной системы пропускного режима. Это делается с целью исключения секретного и несанкционированного проникновения на территорию компании сторонних лиц, а также контроль над нахождением персонала организации в помещении и временем его ухода.
Работа с сотрудниками. Суть ее состоит в организации взаимодействия с персоналом, подборе кадров. Еще значимо ознакомление с ними, подготовка и обучение правилам работы с информацией, чтобы работники знали рамки ее секретности.
Политика информационной безопасности предусматривает также структурированное применение технических средств, направленных на скапливание, сбор и хранение информации повышенной конфиденциальности.
Проведение работ, направленных на контроль над персоналом с точки зрения применения им секретной информации и разработке мер, которые обязаны обеспечивать ее защиту.
Затраты на проведение такой политики не обязаны превышать величину возможного урона, который будет получен в итоге ее утраты.
Политика информационной безопасности должна уделять существенное внимание обработке информации автоматизированными системами: самостоятельно работающими компьютерами и локальными сетями. Следует верно определить нужную степень защиты серверов, шлюзов, а также правила применения сменных носителей информации.
Политика информационной безопасности и ее результативность во многом зависит от числа предъявленных к ней требований со стороны компании, которые разрешают уменьшить степень риска до необходимой величины.
Сетевая безопасность представляет собой комплекс мер, основной задачей которых является предотвращение кражи конфиденциальных данных и любое другое нарушение нормальной работы компьютера вследствие несанкционированного доступа к нему извне. Благодаря постоянному увеличению скоростей доступа к глобальной Сети условные границы между компьютерами все больше стираются, поэтому стали появляться совершенно новые способы обмана доверчивых пользователей.
Постепенно уже ставшие привычными компьютерные вирусы, работа которых основывается на уязвимостях в используемом программном обеспечении, отходят на второй план. Поэтому сейчас сетевая безопасность не может ограничиваться одной лишь установкой антивирусной защиты, как это было раньше. Необходим комплекс мер. Максимальная эффективность защиты возможна лишь при использовании программных защитных средств и обычного здравого смысла.
2. Анализ информационной системы, функционирующей в отделе кадров организации ООО «МЕГАСПОРТ»
В исследуемой задаче объектом изучения являются два автономных сервера. На одной из них хранятся данные управленческого состава, а на другой табели рабочего времени. Информационная система не превышает определённый количественный порог записей, что позволяет отнести эти системы к третьей категории (в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации). Данные, хранящиеся на этих компьютерах, попадают под категорию К3: информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.
Для защиты таких систем достаточно специальной системы Microsoft Windows XP Professional (сертифицированная ФСТЭК версия), которая обеспечивает выполнение основных требований руководящих и нормативных документов по защите конфиденциальной информации и персональных данных. Она успешно применяется в качестве сертифицированного средства защиты информации от несанкционированного доступа, для работы с конфиденциальной информацией, а так же в информационных системах для работы с персональными данными.
В подсистеме «Гриф» была создана модель отдела кадров. После чего модель была проанализирована и программа вывела результат
В модели обозначены рабочие станции и причислены 15 угроз и 9 уязвимостей, которые при исполнении могут нанести ущерб информационной системе.
Ущерб здесь является величиной, которая описывает ситуацию, у которой будет худший исход. Так если при нашем показатели риска произойдёт реализация, какой либо уязвимости то угроза свершится и одна из рабочих станций временно утратит работоспособность либо данные, хранящиеся на ней, будут подвержены тщательной проверке, что займёт много времени.
В системе «Кондор» по уже созданной модели отдела кадров, было проведено тестирование (Приложение Б).
Разделы, по которым проведено тестирование:
1. Политика безопасности.
2. Организационные меры.
3. Управление ресурсами.
4. Безопасность персонала.
5. Физическая безопасность.
Разделы представляют собой наборы вопросов по организации безопасности системы. Все они направлены на выявления неточностей в организационных мерах системы безопасности.
В результате, по показаниям данных графиков можно сказать что, для системы защищённой практически стандартным набором средств от корпорации Microsoft показатели риска находятся на вполне приемлемом среднем уровне. Так средние показатели риска системы находятся на уровне 30%, самым высоким он оказался в сфере организационной деятельности средств безопасности, тогда как безопасность персонала в данном отделе организации находится на высоком уровне, что объясняется категорией данных, с которыми они работают. Относительно ущерба, нанесённого системе при осуществлении угроз указанных нами в модели, то уровень этой величины находится в районе 66%, это говорит о том, что система при каких либо нарушениях равновесия получит ощутимый урон, но в нашей ситуации этого не происходит благодаря маленькому объёму данных обрабатываемых в данной системе.
Таким образом, была исследована информационная система отдела кадров в сфере аудита информационной безопасности, из этого можно извлечь опыт при обучении будущих специалистов и решении проблем безопасности в подобных системах.
По результатам анализа системы информационной безопасности сети магазинов ООО «Мегаспорт» можно сформулировать рекомендации, направленные на улучшение уровня управления информационной безопасностью. Безусловно, важность и приоритеты выполнения рекомендаций в значительной мере зависят от специфики и структуры бизнеса конкретной организации. Вместе с тем мы считаем, что многим организациям полезно учесть следующие рекомендации:
Переносить информационную безопасность в область стратегического управления бизнесом.
Более ясно обозначить стратегию информационной безопасности и применять интегрированный подход к управлению рисками.
Применять на практике общепринятые международные стандарты и практики по информационной безопасности.
Уделить особое внимание рискам, связанным с использованием персональных данных.
Вовлечь представителей высшего руководства в управление непрерывностью бизнеса.
Сфокусировать внимание на повышении эффективности обучающих программ и программ по повышению осведомленности пользователей по вопросам обеспечения информационной безопасности.
Определить требования по информационной безопасности и способы их контроля при взаимодействии с третьими сторонами.
Постоянно оценивать риски при использовании аутсорсинга, пытаться находить баланс между данными рисками и пользой как для организации, так и для ее собственников.
Новые развивающиеся технологии могут дать значительные преимущества для реализации корпоративной системы управления информационной безопасностью. Однако необходимо помнить, что внедрению таких технологий должна предшествовать всесторонняя и объективная оценка последствий их внедрения - как позитивных, так и негативных. Сети магазинов ООО «Мегаспорт» необходимо определить свое отношение к новым архитектурным моделям ИТ, таким как виртуализация и облачные вычисления, для того чтобы удостовериться, что все принимаемые решения соответствуют бизнес- и ИТ-стратегии компании.
Заключение
В результате прохождения преддипломной практики:
- были закреплены и расширены полученные в учебном заведении теоретические знания;
- прошло знакомство с функционированием автоматизированных компьютерных систем в сети магазинов розничной торговли ООО «Мегаспорт»;
- было дано конкретное представление о деятельности системного администратора и его задач на конкретном рабочем месте сети магазинов розничной торговли ООО «Мегаспорт»;
- сформированы навыки по направлению совершенствования функционирования сети организации;
- приобретен опыт работы в трудовом коллективе сети магазинов розничной торговли ООО «Мегаспорт»;
- проведен анализ информационной системы, функционирующей в отделе кадров организации ООО «МЕГАСПОРТ».
Таким образом, в обязанности системного администратора включен контроль над компьютерной сетью, существующей в компании, обеспечение непрерывной работы всей техники, установка специальных программ, которые облегчают процесс обработки и учета данных, поступающих из разных отделов.
Системный администратор должен постоянно совершенствовать свои знания в области компьютерных разработок, нового программного обеспечения, программирования и технического обеспечения.
Практическая значимость пройденной практики состоит в возможности использовать полученные в результате прохождения практики знания в дальнейшей профессиональной деятельности.
Размещено на Allbest.ru
Подобные документы
Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Перечень сведений, составляющих коммерческую тайну. Политика информационной безопасности. Основные положения информационной безопасности фирмы. План мероприятий по защите коммерческой тайны. Мероприятия по защите информации в компьютерной сети.
курсовая работа [2,0 M], добавлен 17.02.2011Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа [2,6 M], добавлен 17.11.2012Локально-вычислительная сеть, ее схема. Информационная политика предприятия "ЦИТ "Аспект". Анализ угроз информационной безопасности. Перечень информации, подлежащей защите. Дискреционное управление доступом. Примерный уровень потерь, алгоритм шифрования.
курсовая работа [771,3 K], добавлен 14.01.2014Анализ структуры распределенной информационной системы и обрабатываемых в ней персональных данных. Выбор основных мер и средств для обеспечения безопасности персональных данных от актуальных угроз. Определение затрат на создание и поддержку проекта.
дипломная работа [5,3 M], добавлен 01.07.2011Нормативно-правовые акты Российской Федерации в области информационной безопасности. Порядок организации работ по защите информации в информационных системах. Общий подход к разработкам технического задания на разработку системы защиты этой сферы.
курсовая работа [31,3 K], добавлен 05.05.2015Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
реферат [51,5 K], добавлен 20.01.2014Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.
дипломная работа [2,5 M], добавлен 31.10.2016Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.
дипломная работа [3,2 M], добавлен 23.03.2018