Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Дипломная работа

На тему: «Анализ методов защиты информации на предприятии (на примере ТОО «Фирма «Комтеко»)»

Содержание

• Введение
• 1. Основные положения информационной безопасности
• 1.1 Значение информации и её защиты
• 1.2 Анализ состояния проблемы обеспечения безопасности на объектах информационной деятельности
• 1.3 Угрозы безопасности
• 1.3.1 Угрозы физической безопасности
• 1.3.2 Угрозы экономической безопасности
• 1.3.3 Угрозы информационной безопасности
• 1.4 Анализ современного состояния проблемы безопасности
• 1.5 Принципы построения и функционирование системы защиты
• 1.5.1 Качественные характеристики проблемы защиты
• 1.5.2 Организационные принципы
• 1.5.3 Принципы реализации системы защиты
• 2. Обеспечение информационной безопасности профессиональной деятельности в ТОО «Фирма «Комтеко»»
• 2.1 Проблемы защиты информации на предприятиях
• 2.2 Краткая характеристика ТОО «Фирма «Комтеко»»
• 2.3 Защита систем в ТОО «Фирмы «Комтеко»»
• 2.4 Рекомендации по обеспечению информационной безопасности профессиональной деятельности ТОО «Фирма «Комтеко»»
• 3. Анализ состояния охраны труда и техники безопасности на предприятии
• 3.1 Значение и задачи безопасности труда
• 3.2 Общие требования техники безопасности
• 3.3 Характеристика условий и безопасности труда
• Заключение
• Список использованных источников

Введение

Тема дипломной работы - «Анализ средств защиты информации предприятия». В качестве объекта исследования было выбрано учреждение ТОО «Фирма «Комтеко»».

Актуальность темы не вызывает сомнения так как с каждым годом увеличивается количество информации, растет ее спрос, а значит и растет ее ценность, в связи с этим возрастают требования по ее защите. Так же быстрыми темпами совершенствуются компьютерные технологии. Из-за ежегодного обновления компьютерных технологий возникают новые угрозы для информации. Следовательно, возрастает необходимость ее защиты. Для того чтобы защита была полной необходимо прорабатывать ее комплексно.

Для обеспечения полноценной защиты конфиденциальной информации необходимо проводить комплексный анализ каналов утечки, каналов и методов несанкционированного воздействия на информацию [1].

Цель исследования: проанализировать степень защиты информации на предприятии ТОО «Фирма «Комтеко»»:

Задачи исследования:

1) Рассмотреть существующие методы защиты;

2) Проанализировать общую характеристику объекта защиты в учреждении;

3) Проанализировать степень защищенности объектов защиты по каждому из видов защиты информации (ЗИ) (правовая ЗИ, организационная ЗИ, программно-аппаратная ЗИ, инженерно-физическая ЗИ);

4) Внести свои предложения по защите информации.

Методы исследования: изучение и анализ литературы, наблюдение.

Работа имеет традиционную структуру и включает в себя введение, основную часть, состоящую из 3 глав, заключение и список литературы.

Во введении обоснована актуальность выбора темы, поставлена цель и задачи анализа, охарактеризованы методы исследования и источники информации.

Глава первая раскрывает общие вопросы, раскрываются исторические аспекты проблемы защиты информации. В главе второй более подробно рассмотрена структура предприятия, используемые меры безопасности и предосторожности. Глава имеет практический характер, в ней предлагаются новые методы защиты для улучшения состояния информационной безопасности на предприятии. Третья глава посвящена вопросам охраны туда и техники безопасности, производится расчет освещения. В заключении делаются выводы о проделанной работе.

1. Основные положения информационной безопасности

1.1 Значение информации и её защиты

Роль информации в современном мире

Современный мир характеризуется такой интересной тенденцией, как постоянное повышение роли информации. Как известно, все производственные процессы имеют в своём составе материальную и нематериальную составляющие. Первая - это необходимое для производства оборудование, материалы и энергия в нужной форме (то есть, чем и из чего изготавливается предмет). Вторая составляющая - технология производства (то есть, как он изготавливается).

В последнее столетие появилось много таких отраслей производства, которые почти на 100% состоят из одной информации, например, дизайн, создание программного обеспечения, реклама и другие.

Соответственно, и себестоимость товара складывается из стоимости материала, энергии и рабочей силы с одной стороны и стоимости технологии, с другой. Доля научного исследования в цене товара в наше время может достигать 50% и более, несмотря на то, что материальные затраты индивидуальны для каждой единицы продукции, а затраты на технологию - общие, то есть, раскладываются поровну на всю серию товара. Появился даже принципиально новый вид товара, в котором доля индивидуальных затрат сведена почти до нуля. Это программное обеспечение, при производстве которого все затраты делаются на создание первого образца, а дальнейшее его тиражирование не стоит ничего.

Столь же ярко демонстрирует повышение роли информации в производственных процессах появление в XX веке такого занятия, как промышленный шпионаж. Не материальные ценности, а чистая информация становится объектом похищения [2].

Указанные тенденции однозначно свидетельствуют, что XXI век станет информационным веком, в котором материальная составляющая отойдёт на второй план.

Значение защиты

С повышением значимости и ценности информации соответственно растёт и важность её защиты.

С одной стороны, информация стоит денег. Значит утечка или утрата информации повлечёт материальный ущерб. С другой стороны, информация - это управление. Несанкционированное вмешательство в управление может привести к катастрофическим последствиям в объекте управления - производстве, транспорте, военном деле. Например, современная военная наука утверждает, что полное лишение средств связи сводит боеспособность армии до нуля.

Защиту информации определяют так: меры для ограничения доступа к информации для каких-либо лиц (категорий лиц), а также для удостоверения подлинности и неизменности информации [3].

Вторая задача может показаться слабо связанной с первой, но на самом деле это не так. В первом случае владелец информации стремится воспрепятствовать несанкционированному доступу к ней, а во втором случае - несанкционированному изменению, в то время как доступ для чтения разрешён. Однако решаются эти задачи одними и теми же средствами.

Аспекты защиты

Во-первых, хорошая защита информации обходится дорого. Плохая же защита никому не нужна, ибо наличие в ней лишь одной "дырки" означает полную бесполезность всей защиты в целом (принцип сплошной защиты). Поэтому прежде чем решать вопрос о защите информации, следует определить, стоит ли она того. Способен ли возможный ущерб от разглашения или потери информации превысить затраты на её защиту? С этой же целью надо максимально сузить круг защищаемой информации, чтобы не тратить лишних денег и времени.

Во-вторых, прежде чем защищать информацию, нелишне определить перечень вероятных угроз, поскольку от всего на свете защититься не возможно. Возможен вариант, когда надо обезопасить данные от несанкционированного доступа извне, например, из Интернета [3].

В-третьих, при планировании схемы защиты информации большое значение имеет не только её объективная надёжность, но и отношение к защите других людей.

1.2 Анализ состояния проблемы обеспечения безопасности на объектах информационной деятельности

Обеспечение безопасной деятельности организаций и фирм независимо от их форм собственности необходимо для любых предприятий и учреждений, начиная от государственных организаций и заканчивая маленькой палаткой, которая занимается розничной торговлей. Расхождение будет состоять лишь в том, какие средства и методы и в каком объеме нужны для обеспечения их безопасности. Поэтому, анализируя современное состояние проблемы защиты, необходимо выбирать такие объекты, на которых были бы «аккумулированы» все основные проблемы защиты. В настоящее время такими объектами для примера можно рассматривать банковскую систему, систему обеспечения деятельности органов высшей государственной власти, силовых структур, крупные предприятия в сфере бизнеса. Данный выбор не случайный, так как все они являются наиболее разветвленными, постиндустриальными объектами, которые концентрирует в себе огромный экономический, научный, интеллектуальный и управленческий потенциал и, естественно, привлекают к себе внимание злоумышленника.

Прежде чем начать анализ современного состояния проблемы безопасности необходимо определить, что подлежит защите и каким основным принципом следует пользоваться.

По сложившейся международной практике безопасности (рисунок 1) объектами защиты с учетом их приоритетов являются [3]:

1) человек;

2) информация;

3) материальные ценности.

Если приоритет сохранения безопасности людей является естественным, то приоритет информации над материальными ценностями требует более подробного рассмотрения. Это касается не только информации, которая составляет государственную или коммерческую тайну, но и открытой информации и обусловлено тем, что информация становится «уязвимой» за счет ее обработки средствами вычислительной техники. Поэтому, в предельном случае, ее уничтожение может привести к банкротству фирмы или банка или нанести ощутимый вред деятельности учреждений, организациям органам государственной власти или силовым структурам [4].

Рыночные отношения, с их неотъемлемой частью - конкуренцией, обязательно требуют использования принципа «выживай», т.е. противодействия внешним и внутренним нападениям или угрозам. Перечисленные объекты защиты в большей или меньшей степени, в зависимости от целей злоумышленников и от конкретных условий, могут подвергаться разным нападениям, угрозам или находиться в ситуации, в которой они по объективным причинам подвергаются опасности.

Используя понятие объектов защиты и принципа «выживай», можно сказать, что понятие «безопасная деятельность» любого предприятия или организации содержит в себе [4]:

1) Физическую безопасность, под которой понимается обеспечение защиты от посягательств на жизнь персонала.

2) Экономическую безопасность.

3) Информационную безопасность.

4) Материальную безопасность, т.е. сохранение материальных ценностей от всякого рода посягательств, начиная от их краж и заканчивая угрозами пожара и других стихийных бедствий.

Для обеспечения «безопасной деятельности» объекта защиты предусматривается создание специального структурного подразделения - Службы безопасности, на которые возлагаются задачи обеспечения «безопасной деятельности».

Появление экономической безопасности в деятельности службы безопасности обусловленная принципом «выживай», так как служба безопасности обязана предотвратить внешние и внутренние угрозы деятельности организаций и фирм. В случае невозможности их предотвращения банк или фирма не сможет существовать, и следовательно, служба безопасности не нужна [5].

Рисунок 1. Проблемы и направления обеспечения безопасности деятельности предприятий и фирм.

1.3 Угрозы безопасности

Рассмотрение угроз «безопасной деятельности» с посылками на обобщающие примеры их воздействия на безопасную деятельность необходимо по двум причинам: показать широкий спектр угроз безопасности, чтобы представить полную картину проблемы; извлечь из приведенных примеров общие принципы сохранения безопасности необходимые для создания средств защиты [5].

1.3.1 Угрозы физической безопасности

В настоящее время имеют место случаи нападения на физических лиц - потенциальных носителей особо важной информации, обладающих значительными материальными ценностями, влиянием на государственный административный ресурс, банкиров и служащих банков. Как правило, это прежде всего руководители коммерческих банков и фирм, которые в течении продолжительного времени (например, для запугивания, склонение к сотрудничеству и т.п.) или наоборот короткого промежутка времени (ограбление или убийства) являются объектом нападения со стороны преступников.

В связи с подобными случаями одной из задач службы безопасности есть обеспечения физической защиты лиц подверженных посягательству на их безопасность. Повседневная практика показывает, что к угрозам физической безопасности относятся [6]:

1) психологический террор, угрозы, запугивание, требование, шантаж;

2) грабежи с целью овладения материальными ценностями или документами;

3) похищение руководителей коммерческих предприятий, банкиров, членов их семей или служащих конкретных объектов деятельности;

4) убийства.

Одним из реальных мероприятий обеспечения физической безопасности есть доведения к лицам, которым может угрожать опасность, обязательных правил поведения с учетом сложившейся обстановки, характера угрозы, возможного времени и места ее реализации и мероприятий, обеспечивающих их безопасность их безопасность.

Однако способы реализации угроз могут самые различные.

Поэтому данные указания и советы могут носить лишь общий характер, поскольку преступники находят все новые и новые пути для достижения своих целей.

Резюмируя, можно сказать, что в настоящее время ни один человек не может чувствовать себя в безопасности. Различного рода преступления не получили бы такого широкого распространения, если бы руководители уделяли должное внимание организации работы службы безопасности.

Обеспечение личной безопасности - очень напряженная работа. Некое физическое лицо может попасть в «зону риска» и применение определенных методов охраны требует определенной системы поведения не только от охранников, но и от объекта охраны. Это обусловлено тем, что преступники предварительно собирают информацию о жертве, изучают «слабые места» и широко ими пользуются. Без необходимой информации об объекте нападения значительно увеличивается степень риска для преступников. Поэтому необходимо скрывать любую информацию, что преступник может использовать при подготовке или осуществлении преступления.

Важно отметить, что убийства, как правило, остаются нераскрытыми, что наводит на естественную мысль о хорошей организации и подготовке преступников.

1.3.2 Угрозы экономической безопасности

Угрозы экономической безопасности деятельности объекта защиты могут быть всяческими, но мы выделим только основные угрозы, которые входят в компетенцию службы безопасности [7].

К данному виду угроз в первую очередь относятся угрозы от:

1) отдельных сотрудников предприятия;

2) преступных группировок;

3) криминальных местных структур;

4) криминальных заграничных структур.

В тяжелых условиях становления рынка положения коммерческих предприятий усугубляется мощным и все нарастающим давлением со стороны криминального мира. Ни для кого не является секретом, что многие коммерческие фирмы прямо или косвенно связанные с мафиозными структурами или существуют за счет их средств.

В условиях текущей политической и экономической нестабильности и при наличии разного рода угроз (от неплатежеспособности до мошенничества) является естественным объединение усилий коммерческих структур для сохранности их экономической безопасности. Примером этому есть соглашения между отдельными банками, другими структурами, направленные на сотрудничество и деятельность по предотвращению недобросовестной конкуренции, что несомненно повышает степень их экономической защищенности [8].

Учитывая высокий уровень подготовки экономических преступлений, их огромное количество, лишь отчасти отражают процесс последовательного роста темпов криминализации экономики, сопровождающихся расширением масштабов проникновения у нее организованных преступных группировок, все более тесного смыкания с работниками органов государственного управления, в том числе на самом высоком уровне.

В настоящее время наблюдается появление новых и усиление общественно опасных форм преступной деятельности в сфере кредитно-денежных отношений.

Таким образом, обеспечение коммерческой деятельности любой фирмы содержит в себе не только защиту информации, но и сбор, классификацию, анализ, оценку и выдачу прогнозов для успешной коммерческой деятельности. Иначе говоря, чем выше информационное обеспечение любой фирмы, тем менее возможны угрозы их экономической деятельности.

1.3.3 Угрозы информационной безопасности

Как считают западные специалисты, утечка 20% коммерческой информации в шестидесяти случаях из ста приводит к банкротству фирмы. Ни одна, даже процветающая фирма США не просуществует больше трех суток, если ее информация, составляющая коммерческую тайну, станет известной. Таким образом, экономическая и информационная безопасность фирмы тесно взаимосвязаны [9].

Уменьшение угрозы экономической деятельности государственного предприятия или коммерческой структуры предусматривает получение информации о конкурентах. Поэтому, вполне естественно, что уменьшение данной угрозы для одних структур влечет за собой увеличение угрозы экономической деятельности для других конкурирующих структур. Это стало возможным из-за наличия промышленного шпионажа.

Убыток от деятельности конкурентов, использующих методы шпионажа, составляет в мире до 30% всего ущерба, а это - миллиарды долларов. Точную цифру ущерба указать нельзя по следующей причине: ни злоумышленник, ни пострадавшие не стремятся предать гласности совершенные действия. Первые, боясь ответственности за содеянное, а вторые - через боязнь потерять имидж. Этим объясняется высокий уровень нераскрытых правонарушений и отсутствие об их информации в открытой печати. Поэтому к читателям доходит менее 1% от всех случаев нарушений, которые обычно имеют уголовный характер и которые скрыть нельзя [13].

Промышленный шпионаж довольно развит в западных странах. Сотни фирм специализируются на изготовлении средств технической разведки и на проведении мероприятий по промышленному шпионажу. В настоящее время он получил широкое распространение и в нашей стране. Масштабы промышленного шпионажа можно оценить хотя бы по следующему факту - на проходящей еще в 1995 году выставке-продаже заграничных и отечественных средств технической разведки было продано 70 тыс. единиц средств добывания информации и только единицы их поиска и борьбы с ними. А всего на выставке было представлено больше 2000 видов разных устройств. Рост конкуренции стимулирует спрос на оборудование промышленного шпионажа.

В последнее время накопилось немало примеров, когда потери коммерческих структур от утечки информации за счет промышленного шпионажа превосходили размеры прямых потерь от краж или разбойных нападений. Нельзя недооценивать возможности промышленного шпионажа и ущерб, что он может принести фирме.

Используют средства и методы промышленного шпионажа, как правило, недобросовестные конкуренты. Противодействие получению информации с помощью технических средств разведки (ПДТР) довольно сложно и по силам только специалистам, имеющим практический опыт. Это обусловлено следующими основными причинами:

1) в общем случае неизвестно кто, когда, в каком месте и каким образом попытается получить информацию;

2) приобретение средств промышленного шпионажа не вызывает затруднений;

3) правовая регламентация использования средств промышленного шпионажа отсутствует.

С помощью средств промышленного шпионажа не только разными способами подслушивают или подсматривают за действиями конкурентов, но и получают информацию, непосредственно обрабатываемую в средствах вычислительной техники. Это уже стало повседневным явлением (например, снятие информации из дисплеев или линий связи ЭВМ). Однако наибольшую опасность здесь представляет непосредственное использование злоумышленниками средств вычислительной техники, которое породило новый вид преступлений - компьютерные преступления, т.е. несанкционированный доступ к информации, обрабатываемый в ЭВМ (НСД).

Использование средств вычислительной техники раскрывает новую область для промышленного шпионажа. При этом злоумышленники могут не только получить доступ к открытой информации, но и к информации, которая содержит коммерческую и государственную тайну. Если можно войти в вычислительную систему, то можно не только получить информацию, но и всю ее уничтожить, модифицировать или манипулировать. В силу этого фирма понесут урон или станут на гране финансового краха за невозможностью выполнения своих функций.

В это время появились информационные брокеры, которые с помощью хакеров взламывают средства защиты информации, получают информацию, а потом ее продают. Покупателями могут быть как конкуренты пострадавшей фирмы, так и сама пострадавшая фирма. При этом последняя соглашается на более «тяжелые» условия, так как имеется возможность «информационного шантажа». Борьба с этим видом преступности затруднительна, так как отсутствует надлежащая правовая основа.

Необходимость совершенствования защиты коммерческой информации, также телекоммуникационных систем подтверждается возрастающим числом фактов незаконного владения финансовой информацией.

Противодействовать компьютерной преступности сложно, что главным образом объясняется [17]:

1) новизной и сложностью проблемы;

2) сложностью своевременного выявления компьютерного преступления и идентификации злоумышленников;

3) возможностью выполнения преступлений с использованием средств удаленного доступа, т.е. злоумышленников на месте преступления нет;

4) трудностями сбора и юридического оформления доказательств компьютерного преступления.

Учитывая большой убыток от компьютерных преступлений, в настоящее время широко внедряются криптографические средства защиты информации, которые обладают гарантированной стойкостью защиты. Однако и они не являются панацеей для защиты информации, так как защищают только часть спектра, а не весь спектр угроз информационной безопасности.

Промышленный шпионаж широко использует опыт военной разведки, из которого известно, что 90% информации о неприятеле можно получить косвенным путем. При этом источниками информации о конкурентах являются [8]:

1) информация, которая содержится в средствах массовой информации, целенаправленная на исследуемый объект;

2) сведения, распространяемые непосредственно конкурентом, его служащими или клиентами;

3) финансовые отчеты, проспекты, брошюры, рекламные изделия, запросы и т.д.;

4) переговоры со служащими и клиентами конкурента;

5) непосредственное наблюдение за объектами конкурентов.

Сбор временами многочисленных и отдельно взятых незначительных сведений разрешает получить практические прогнозы и нередко - достоверные выводы об экономическом состоянии конкурента для принятия тактических и стратегических решений с целью обеспечения собственной экономической безопасности.

Знание о покупках программного обеспечения для средств вычислительной техники разрешает направить исследование с целью выявления недокументированных функций и дальнейшее их использование для нарушения работы средств вычислительной техники [18].

Незначительная на первый взгляд информация при значительном объеме обеспечивает переход количества в качество при ее обобщении и аналитической обработке.

Вполне естественно, что аналитическая работа требует высококлассных и высокооплачиваемых специалистов, но для конкурентов и тем более для мафиозных структур это не проблема.

Рассматривая в целом угрозы информационной безопасности можно сказать, что они полностью обоснованы, а их недоучет повлечет за собой негативные последствия.

1.4 Анализ современного состояния проблемы безопасности

Обобщая и анализируя вышеприведенные примеры угроз безопасности можно выделить три основные составляющие проблемы сохранения безопасности;

1) Правовая защита.

2) Организационная защита.

3) Инженерно-техническая защита.

Из-за отсутствия единой терминологии в области безопасности необходимо раскрыть содержание каждого направления.

Смысл обеспечения правовой защиты ясен из самого названия.

Организационная защита включает в себя охрану и режим работы объекта.

Под инженерно-технической защитой понимается совокупность инженерных, программных и других средств, направленных на исключение угрозы безопасности.

Вполне естественно, что для каждого вида угроз безопасности должны использоваться различные правовые, организационные и инженерно-технические мероприятия. Это обусловлено различным характером угроз. Целью анализа является рассмотрение возможности системы безопасности предупредить, выявить и «устранить» злоумышленников [19].

Анализ зафиксированных фактов и уголовных дел, связанных со всеми видами безопасности свидетельствует о стремительном росте правонарушений. Убийства, мошенничество, промышленный шпионаж и т.п. уже превратились в реальный фон деятельности как государственных, так и коммерческих структур. Положение можно охарактеризовать как крайне тяжелое, что обусловлено:

1) отсутствием четкого законодательства, которое предусматривает административную, материальную и уголовную ответственность;

2) отсутствием координации деятельности правоохранительных органов, специальных служб, органов суда, прокуратуры и системы безопасности;

3) сложностью учета - правонарушений;

4) отсутствием необходимого опыта выявления и пресечения разного рода преступлений;

5) возрастающей криминогенной обстановкой.

Учитывая международный характер и масштабы преступлений, их предотвращение и борьба с ними требует активных международных усилий. Даже самое идеальное решение правовых и законодательных вопросов обеспечения безопасности не обеспечит ее сохранения, если не будет работать организационный механизм, который превращает в жизнь данные положения. В настоящее время такой механизм организовывается, но его развитию препятствует политическая и экономическая нестабильность.

Анализ возможностей технического обеспечения блокирования угроз безопасности (инженерно-техническая защита) может быть проведен из расчета того, что злоумышленники (конкуренты и мафиозные структуры) и система безопасности обладают одинаковыми возможностями в оснащении [17].

Мировой уровень технического состояния противодействия попыткам нарушения безопасности довольно высокий. Однако для практической деятельности необходимо выполнения двух основных условий:

1) наличие средств на закупку и эксплуатацию средств защиты;

2) наличие необходимого уровня подготовки персонала.

При наличии этих основных условий можно противостоять любым попыткам преступных действий, однако в настоящее время главный акцент в деятельности систем безопасности коммерческих структур пока грешит силовым подходом к проблеме безопасности в целом, делая ставку на мускулы охранников, а не на интеллект и техническую оснащенность.

1.5 Принципы построения и функционирование системы защиты

Приведенные примеры показывают, что спектр угроз безопасности деятельности предприятий и фирм довольно большой. Поэтому возникает вопрос: нельзя ли сформулировать хотя бы общие принципы сохранения их безопасности и создание СБ.

Анализ угроз безопасности показал, что в настоящее время уже сформировались некоторые принципы создания и работы СЗ. Учитывая, что на безопасность объектов защиты влияет множество разных угроз, данные принципы также довольно разнообразные. Поэтому возможны различные способы их классификации.

1.5.1 Качественные характеристики проблемы защиты

Принцип неопределенности.

Данный принцип обусловлен в целом наличием «человеческого фактора», так как неясно: кто, когда, где и каким образом может нарушить безопасность объекта защиты [20].

Принцип невозможности создания идеальной СЗ - следует из принципа неопределенности и ограниченности ресурсов СЗ.

Принцип минимального риска.

Практически невозможно создать идеальную СЗ, так как ее создание всегда ограничено средствами. Поэтому необходимо выбирать ту или иную степень риска, исходя из особенностей угроз безопасности и конкретных условий существования объекта защиты для любого момента времени.

Принцип минимального ущерба.

Данный принцип является вполне естественным и логическим развитием принципа невозможности создания идеальной СЗ и принципа риска.

Принцип безопасного времени.

Данный принцип является следствием принципа риска и предполагает учет двух факторов времени: абсолютного времени, в течении которого необходимо сохранение безопасности объектов защиты или коммерческой тайны; относительного времени, т.е. промежутка времени от момента выявления злоумышленных действий СЗ к достижению ЗЛ своей цели. Из этого следует, что более эффективна будет та СЗ, которая обеспечивает наиболее раннее оповещение о злоумышленных действиях.

Принцип «Защита всех от всех».

Логически понятный принцип, предполагающий всеобщность защитных мероприятий против всех форм угроз объектам защиты, что является следствием неопределенности процесса защиты.

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 2. Характеристики проблемы защиты

1.5.2 Организационные принципы

Принцип законности.

Важность этого принципа трудно переоценить, хотя обеспечить скрупулезное следование ему в наше время очень непросто через несовершенство законодательства, которое не успевает соответствующим образом корректировать механизм правового регулирования происходящих в стране динамических процессов, связанных с коренным реформированием народного хозяйства [20].

В связи с возникновением новых правоотношений в нашем законодательстве наряду с хорошо знакомыми объектами права, такими как «государственная собственность», «государственная тайна», появились новые - «частная собственность», «собственность предприятия», «интеллектуальная собственность», «коммерческая тайна», «конфиденциальная информация», «информация с ограниченным доступом» и др.. К сожалению, пока в нашей научной правовой литературе отсутствуют развернутые определения этих новых понятий, комментарии относительно санкций за связанные с ними правонарушения.

Принцип персональной ответственности.

Согласно этому принципу каждый сотрудник предприятия, фирмы или их клиент несет персональную ответственность за сохранение режима безопасности в рамках своих полномочий или соответствующих инструкций. Ответственность за нарушение режима безопасности должна быть заранее конкретизированна и персонифицированна. При этом СЗ должна строиться таким образом, чтобы при любому ее нарушении был четко известен или минимизирован круг лиц, которые могут быть виновными. Это не только облегчает расследование ЧП, но и служит эффективным средством добросовестного выполнения служебных обязанностей и удержание потенциальных ЗЛ от несанкционированных действий [19].

Принцип ограничения полномочий.

Данный принцип одновременно относиться как к персоналу, так и к средствам защиты и обработки информации. При этом он включает в себя и проблему доступа.

Вероятность нарушения коммерческой тайны или нормального функционирования предприятия прямо пропорциональная количеству осведомленных лиц, знающих это. Никому не следует знакомиться с конфиденциальной информацией, если это не требуется для выполнения его служебных обязанностей. Важно при этом включать в круг допускаемых к той или иной информации и лиц, которые могут с большой степенью вероятности узнать ее случайным образом при выполнении своих служебных функций. Непонимание этого может привести к разглашению по недоразумению, через лишние разговоры на эту тему, разного рода предположений и догадок, которые чаще всего оказываются близкими к истине, со стороны лиц, официально непосвященных в секреты и, следовательно, не обязанных держать их в тайне. Вполне естественно, что данный принцип относиться как к отдельным элементам СЗ, так и СЗ в целом.

Второй составляющей этого принципа является необходимость запрета физического доступа к особо уязвимым зонам для лиц, пребывание которых там не требуется по роду деятельности.

Третья составляющая определяет минимизацию любых средств, с помощью которых выполняются функциональные обязанности персонала и действия клиентов. Например, при обработке информации в ПЭВМ необходимо иметь минимальный состав ПО, обеспечивающий функциональную деятельность сотрудника. В противном случае появляются дополнительные возможности для несанкционированных действий

Принцип взаимодействия и сотрудничества.

Действие данного принципа направлено на создание благоприятной внутренней и внешней атмосферы безопасности. Внутренняя атмосфера безопасности достигается доверительными отношениями между сотрудниками СБ и персоналом, вспомогательными мерами и стимулированием, в том числе и материальным. При этом добиваются того, чтобы персонал предприятия правильно понимал необходимость в своих собственных интересах оказывать содействие СБ. Нельзя допускать, чтобы действующая на предприятии система безопасности воспринималась служащими как инструмент слежения за персоналом со стороны руководства предприятия. В атмосфере доверия ЗЛ сложнее преодолеть СЗ и привлечь как соучастников лиц из числа персонала [7].

Внешняя атмосфера заключается в необходимости отладки сотрудничества со всеми заинтересованными организациями и лицами. Прежде всего это касается установления рабочих контактов с местными органами власти, близлежащими подразделениями милиции, пожарной охраны и другими контролирующими и специализированными службами (котлонадзора, энерговодоснабжения и т.п.), а также с представителями СБ соседних предприятий и фирм. Практически невозможно и экономически обременительно, например, обеспечивать эффективную безопасность без такого сотрудничества, если предприятие арендует с другими фирмами помещения в одном здании.

С течением времени и у нас, как это имеет место на Западе, будет возрастать значение взаимодействия со страховыми компаниями, которые профессионально заинтересованы в поддержке и контроле состояния разных систем безопасности [6].

Важно также найти приемлемые формы взаимодействия с окружающими жителями близлежащего квартала, населенного пункта, может быть, в форме поддержки местного клуба молодежи, пенсионеров (при создании благоприятной атмосферы во взаимоотношениях с этой категорией лиц лучших добровольных помощников в части отслеживания обстановки вокруг предприятия найти невозможно), обнародование номеров телефонов охраны, по которым доброжелатели могли бы сообщать о моментах, которые настораживают, и т.п.

1.5.3 Принципы реализации системы защиты

Принцип комплексности и индивидуальности

ЗЛ может воздействовать на объект защиты (нарушить его безопасность) различными способами и методами. Следовательно, безопасность объекта защиты не обеспечивается каким-либо одним мероприятием, а лишь совокупностью комплексных, взаимосвязанных и дублирующих друг друга мероприятий и реализуемых с индивидуальной привязкой к конкретным условиям [3].

Принцип последовательных рубежей безопасности

Данный принцип предполагает своевременное выявление угрозы безопасности. Это означает, в частности, как можно более раннее оповещение о состоявшемся посягательстве на безопасность того или иного объекта защиты или ином неблагоприятном происшествии с тем, чтобы увеличить вероятность того, что заблаговременный сигнал тревоги средств СЗ обеспечит сотрудникам СБ возможность своевременно определить причину тревоги и организовать эффективные мероприятия. При невыполнении этого принципа квалифицированному ЗЛ может быть представленно достаточно времени, чтобы преодолеть все, даже наиболее сложные рубежи безопасности, т.е. уменьшение безопасного времени. Из этого принципа следует, что чем ближе к цели преступных посягательств, тем более надежными должны быть рубежи безопасности [20].

Принцип равнопрочности и равномощности рубежной защиты

Необходимость равнопрочности рубежей защиты можно показать на примере. Если, например, по периметру здания некоторые окна не будут оборудованы защитной металлической решеткой, то прочность и надежность остальных решеток не имеет значения - этот рубеж защиты окажется быстро и легко преодолимый через незащищенные решеткой окна. Поэтому рубежи защиты не должны иметь незащищенных участков.

Равномощность рубежей защиты предполагает относительно одинаковую величину защищенности рубежей защиты в соответствии со степенью угроз объекту защиты, которая означает реализацию более мощной защиты там, где есть большая угроза и менее мощная защита в противном случае. Кроме того, равномощность предполагает наиболее эффективное распределение ресурсов СЗ по рубежам защиты.

Принцип адекватности и эффективности

Оценка возможных угроз материальным, имущественным и другим ресурсам предприятия требует усилий высококвалифицированных специалистов и зависит от множества факторов. Объем принятых мер безопасности должен отвечать существующим угрозам, в противном случае СЗ будет экономически неэффективна.

Не следует злоупотреблять излишними мерами безопасности. Это будет утомлять и раздражать персонал, что может скомпрометировать самую идею о необходимости поддержания безопасности на должном уровне и, как следствие, сделать работу СБ неэффективной. Кроме того, они лишь демаскируют объект защиты и провоцируют проявление злоумышленных действий.

СЗ должна быть организована эффективно, т.е. уровень защиты должен соответствовать принятым нормативным документам, национальным и международным стандартам [17].

Принцип секретности. Данный принцип очевиден.

Принцип адаптивности. СЗ должна быть гибкой, допускающей без коренной ломки развитие своей функциональной структуры.

Принцип экономичности. Защита должна строиться по критерию «Эффективность - стоимость», т.е. при заданной и достигаемой эффективности, следует применять максимально дешевые средства и мероприятия защиты.

Принцип глобальности контроля. Этот принцип следует непосредственно из принципа неопределенности и означает создание в СЗ методов безусловной системы контроля любого объекта защиты и средств защиты для любого момента времени.

Принцип регистрации. Он необходим для анализа работы пользователей. Отметим только, что регистрация должна проводиться на всех рубежах защиты как при санкционированных, так и несанкционированных действиях.

Принцип защиты средств обеспечения защиты. Данный принцип является логическим следствием принципов: «защита всех от всех», комплексного и индивидуального подхода и глобальности контроля. Иначе говоря, любое защитное мероприятие или средство должно в свою очередь быть обеспечено защитой.

Иллюстрацией следования этому принципу является наличие средств защиты от попыток внесения несанкционированных изменений в программное обеспечение, реализующее, в свою очередь, какую-либо защитную функцию в информационных системах, например, разграничение доступа.

Другим примером является устройство охранительной сигнализация, функционально поддерживающее рубеж безопасности и, в свою очередь, защищаемое каким-либо специальным средством (например, маскирующим).

Вывод: В этом разделе были рассмотрены 3 вида угроз безопасности: угрозы информационной безопасности, угрозы физической безопасности, угрозы экономической безопасности. Из них наиболее опасным является угроза информационной безопасности. Противодействовать сложно, что главным образом объясняется :новизной и сложностью проблемы;

сложностью своевременного выявления компьютерного преступления и идентификации злоумышленников так же трудностями сбора и юридического оформления доказательств компьютерного преступления.

2. Обеспечение информационной безопасности профессиональной деятельности в ТОО «Фирма «Комтеко»»

2.1 Проблемы защиты информации на предприятиях

Информационная Эра привела к драматическим изменениям в способе выполнения своих обязанностей для большого числа профессий. Теперь нетехнический специалист среднего уровня может выполнять работу, которую раньше делал высококвалифицированный программист. Служащий имеет в своем распоряжении столько точной и оперативной информации, сколько никогда не имел.

Но использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем для руководства организацией. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным. Все увеличивается число компьютерных преступлений, что может привести в конечном счете к подрыву экономики. И поэтому должно быть ясно, что информация - это ресурс, который надо защищать.

Ответственность за защиту информации лежит на низшем звене руководства. Но также кто-то должен осуществлять общее руководство этой деятельностью, поэтому в организации должно иметься лицо в верхнем звене руководства, отвечающее за поддержание работоспособности информационных систем.

И так как автоматизация привела к тому, что теперь операции с вычислительной техникой выполняются простыми служащими организации, а не специально подготовленным техническим персоналом, нужно, чтобы конечные пользователи знали о своей ответственности за защиту информации.

Число компьютерных преступлений растет - также увеличиваются масштабы компьютерных злоупотреблений. По оценке специалистов США, ущерб от компьютерных преступлений увеличивается на 35 процентов в год и составляет около 3.5 миллиардов долларов. Одной из причин является сумма денег, получаемая в результате преступления: в то время как ущерб от среднего компьютерного преступления составляет 560 тысяч долларов, при ограблении банка - всего лишь 19 тысяч долларов [18].

Шансов быть пойманным у компьютерного преступника гораздо меньше, чем у грабителя банка - и даже при поимке у него меньше шансов попасть в тюрьму. Обнаруживается в среднем 1 процент компьютерных преступлений. И вероятность того, что за компьютерное мошенничество преступник попадет в тюрьму, меньше 10 процентов.

Умышленные компьютерные преступления составляют заметную часть преступлений. Но злоупотреблений компьютерами и ошибок еще больше. Как выразился один эксперт, "мы теряем из-за ошибок больше денег, чем могли бы украсть". Эти потери подчеркивают важность и серьезность убытков, связанных с компьютерами.

Основной причиной наличия потерь, связанных с компьютерами, является недостаточная образованность в области безопасности. Только наличие некоторых знаний в области безопасности может прекратить инциденты и ошибки, обеспечить эффективное применение мер защиты, предотвратить преступление или своевременно обнаружить подозреваемого. Осведомленность конечного пользователя о мерах безопасности обеспечивает четыре уровня защиты компьютерных и информационных ресурсов:

2.2 Краткая характеристика ТОО «Фирма «Комтеко»»

Компания ТОО «Фирма «Комтеко»» основана в 2003 году. Директором предприятия является Невгод Анатолий Владимирович.

В штате сотрудников ТОО «Фирма «Комтеко»» имеются инженеры-программисты, наладчик оборудования связи, со стажем более 3 лет и опытом проведения технических и программных разработок. Более 70% сотрудников компании имеют высшее образование, значительная часть по направлению телекоммуникация.

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Рисунок 3. Структурная схема предприятия

На Казахстанском рынке услуг связи компания предлагает своим клиентам комплексные решения, основанные на последних достижениях в области информационных, компьютерных и телекоммуникационных техно.

Услуги:

Фирма представляет широкий перечень строительных, проектировочных работ для прокладки сетевых кабелей и организации локальной сети, установка и монтаж сетевого оборудования. Протяжку сети осуществляют высококвалифицированные специалисты.

В техническом отделе ТОО «Фирмы «Комтеко»» работают специалисты способные гарантировать работоспособность всех комплектующих прошедших через их руки. Фирма также осуществляет гарантийное техобслуживание системных блоков и комплектующих. Ведущие мировые фирмы в сфере изготовления и ремонта компьютерной техники такие как «Hewlett Packet» и «Fujitsu-Siemens» признают специалистов фирмы способными оказать надлежащую техническую поддержку для своей продукции, и выдали соответствующие сертификаты.

Различная документация (техническая, экономическая) находится в открытом доступе, что позволяет практически любому сотруднику фирмы (начиная с учредителя и заканчивая водителем) беспрепятственно с ней ознакомиться.

Особо важная документация хранится в сейфе. Ключи от сейфа есть только у директора и у его секретаря. Но здесь существенную роль играет так называемый человеческий фактор. Нередко ключи забываются в кабинете на столе и сейф может быть вскрыт даже уборщицей.

Экономическая документация (отчеты, накладные, счета, счета-фактуры и т.п.) разложены по папкам и полкам в шкафу, который не запирается.

Сотрудники не подписывают при устройстве на работу никаких соглашений о неразглашении сведений, которые относятся к коммерческой тайне, что не запрещает им распространять подобную информацию.

Набор сотрудников производится посредством собеседования, состоящего из двух этапов: 1. общение с непосредственным начальником (на котором выявляются умения и способности потенциального работника) 2. общение с учредителем (носит более личностный характер и выводом подобного диалога может быть либо «сработаемся», либо «не сработаемся»).

Все это требует более пристального внимания со стороны руководства и грамотной программы по обеспечению информационной безопасности фирмы, потому что сегодня у ТОО «Фирмы «Комтеко»» появилось достаточно много конкурентов, которые вряд ли упустят возможность воспользоваться, например, клиентской базой или базой поставщиков фирмы.

2.3 Защита систем в ТОО «Фирмы «Комтеко»»

С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику, допущенному к работе с конкретной системой, должно быть сопоставлено персональное уникальное имя - учетная запись пользователя и пароль, под которым он будет регистрироваться, и работать в системе. Некоторым сотрудникам, при наличии производственной необходимости, могут быть сопоставлены несколько учетных записей. Использование несколькими сотрудниками при работе в системе одного и того же имени пользователя (“группового имени”) ЗАПРЕЩЕНО. Создание, изменение и удаление учетных записей, групп безопасности и почтовой рассылки осуществляется только по заданию начальника технического отдела.

Порядок доступа к ресурсам Интернет в ТОО «Фирма «Комтеко»»

Для исполнения задач, связанных с производственной деятельностью сотрудникам предоставляется доступ к ресурсам Интернет. Требуемый уровень доступа предоставляется сотруднику на основании заявки «на изменение списков доступа» от сотрудников на имя директора после ознакомления под роспись о принятых Правилах «Работы в сети Интернет». Доступ к ресурсам Интернет может быть блокирован главным инженером-программистом без предварительного уведомления, при возникновении нештатных ситуаций, либо в иных случаях предусмотренных организационными документами.

При работе с ресурсами Интернет сотруднику запрещается:

1) загружать и запускать исполняемые либо иные файлы без предварительной проверки на наличие вирусов установленным антивирусным пакетом.

2) использовать анонимные прокси серверы.

3) использовать программные и аппаратные средства, позволяющие получить доступ к ресурсу, запрещенному к использованию политикой компании.

Требования к паролям

Первичный пароль - комбинация символов (буквы, цифры, знаки препинания, специальные символы), устанавливаемые системным администратором при создании новой учетной записи. Установку первичного пароля производит системный администратор при создании новой учетной записи. Ответственность за сохранность первичного пароля лежит на системном администраторе.

При создании первичного пароля, главный инженер-программист обязан установить опцию, требующую смену пароля при первом входе в систему, а также уведомить владельца учетной записи о необходимости произвести смену пароля [5].

Основной пароль - комбинация символов (буквы, цифры, знаки препинания, специальные символы), известная только сотруднику организации, используемая для подтверждения подлинности владельца учетной записи.

Установку основного пароля производит пользователь при первом входе в систему с новой учетной записью.