Организационные меры по обеспечению безопасности на предприятии

 

 

ОСНОВНЫЕ ЗАДАЧИ, РЕШАЕМЫЕ СИСТЕМОЙ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ

1. Управление доступом пользователей к ресурсам автоматизированной системы с целью ее защиты от неправомерного, случайного или умышленного вмешательства в ее работу и несанкционированного (с превышением предоставленных полномочий) доступа к ее информационным, программным и аппаратным ресурсам со стороны посторонних лиц, а также персонала предприятия и пользователей.
2. Защита данных, передаваемых по каналам связи.
3. Регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отношение к ее безопасности.
4. Контроль работы пользователей системы со стороны администрации и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы.
5. Контроль и поддержание целостности критичных ресурсов системы защиты и среды исполнения прикладных программ.
6. Обеспечение замкнутой среды проверенного программного обеспечения с целью защиты от бесконтрольного внедрения в систему потенциально опасных программ (в которых могут содержаться вредоносные закладки или опасные ошибки) и средств преодоления системы защиты, а также от внедрения и распространения компьютерных вирусов.
7. Управление средствами системы защиты.

Различают внешнюю и внутреннюю безопасность компьютерных систем. Внешняя безопасность включает защиту автоматизированных систем от стихийных бедствий и от проникновения в системы злоумышленников извне в целях хищения информации, получения доступа к ней или вывода системы из строя. Внутренняя безопасность компьютерных систем основана на создании надежных и удобных механизмов регламентации деятельности всех законных пользователей и обслуживающего персонала. Результатом этих усилий должно быть безусловное соблюдение установленных на предприятии правил доступа к ресурсам системы.

По способам осуществления все меры обеспечения  безопасности компьютерных систем подразделяются на правовые (законодательные), морально-этические, организационные (административные), физические и технические (аппаратные и программные).

Организационные (административные) меры защиты — это меры, регламентирующие процессы функционирования системы обработки данных, порядок использования ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей системы таким образом, чтобы максимально снизить возможность угроз безопасности. Они включают:

• мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных систем и других объектов обработки данных;
• мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности);
• мероприятия, осуществляемые при подборе и подготовке персонала, обслуживающего систему;
• организацию охраны и надежного пропускного режима;
• организацию учета, хранения, использования и уничтожения документов и носителей с информацией;
• распределение реквизитов разграничения доступа(паролей, ключей шифрования и т. п.);
• организацию явного и скрытого контроля за работой пользователей;
• мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т. п.

Физические меры защиты основаны на применении разного рода электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав автоматизированных систем и выполняющих функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое преобразование информации и т. д.).

Персональный компьютер (уровень  пользователя)

Компьютер, не включенный в локальную сеть и имеющий конфиденциальную информацию, подвержен большому количеству различных угроз.

Угрозы:

• НСД к компьютеру со стороны сотрудников и других лиц;
• потеря информации в результате заражения компьютерными вирусами;
• НСД к информации через наводки кабелей ЛВС или электромагнитное излучение средств вычислительной техники;
• НСД к информации на съѐмных носителях информации (включая распечатки на бумажных носителях);
• НСД к информации, размещенной на отказавших узлах;
• ПК, отправляемых в ремонт;
• кража компьютера с конфиденциальной информацией.

Пути защиты информации:

• аутентификация пользователя, т. е. проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности;
• ограничение доступа сотрудников в помещения, в которых имеются компьютеры с конфиденциальной информацией - использование систем управления доступом;
• защита от несанкционированной загрузки операционной системы - использование программно-аппаратных комплексов, предназначенных для защиты от несанкционированного доступа к ресурсам персонального компьютера, разграничение прав зарегистрированных пользователей по доступу к ресурсам ПК, автоматизированного контроля и протоколирования событий по доступу к компьютеру;
• ограничение доступа сотрудников к внутренним ресурсам локального компьютера и к ресурсам Internet -использование специального комплекса защиты;
• использование средств защиты от вирусов;
• проведение специальных исследовательских работ и выполнение всех рекомендаций организации, проводившей данные работы.

Угрозы безопасности информации в локальной сети и пути ее защиты

Большинство современных автоматизированных систем (локальные сети) состоят из следующих основных структурно-функциональных элементов:

• рабочих станций - отдельных ЭВМ или удаленных терминалов сети, на которых реализуются автоматизированные рабочие места пользователей;
• серверов или host-машин (служб файлов, печати, баз данных и т. п.);
• межсетевых мостов (шлюзов, центров коммутации пакетов, коммуникационных ЭВМ);
• каналов связи (локальных, телефонных, с узлами коммутации и т. д.).

Рабочие станции являются наиболее доступными компонентами сетей, и именно с них  могут быть предприняты попытки  совершения несанкционированных действий. С рабочих станций осуществляется управление процессами обработки информации, запуск программ, ввод и корректировка данных, на дисках рабочих станций могут размещаться важные данные и программы обработки. На видеомониторы и печатающие устройства рабочих станций выводится рабочая информация пользователей, выполняющих различные функции и имеющих различные полномочия по доступу к данным и другим ресурсам системы.

Именно  поэтому рабочие станции должны быть надежно защищены от доступа  посторонних лиц, и содержать  средства разграничения доступа  к ресурсам со стороны законных пользователей, имеющих разные полномочия. Пути защиты рабочих станций от НСД - организация централизованного назначения пользовательских полномочий по доступу к ресурсам рабочих станций и постоянный автоматизированный контроль их действий: использование специальных комплексов защиты и администрирования.

В особой защите нуждаются такие привлекательные  для злоумышленников элементы сетей, как серверы (host-машины) и мосты. Первые как концентраторы больших объемов информации (баз данных), вторые — в качестве элементов, осуществляющих преобразование данных при согласовании протоколов обмена в различных участках сети. Решения по защите перечислены ниже:

1. Ограничение доступа сотрудников в помещение, в котором имеются компьютеры с конфиденциальной информацией - использование систем управления доступом.
2. Использование сетевых средств защиты - разграничение сетевых ресурсов для пользователей с помощью средств сетевой операционной системы.

При организации  корпоративной информационной сети с использованием Internet возможности несанкционированного доступа к информации достигают обычно наивысшего уровня. Угрозы:

• организация внешних атак на корпоративную сеть;
• внутренние угрозы информационным ресурсам корпоративной сети;
• НСД к информации на серверах сети со стороны рабочих станций;
• НСД к ресурсам рабочей станции со стороны сотрудников и других лиц;
• НСД к информации через наводки кабелей ЛВС;
• НДС к информации через электромагнитное излучение средств вычислительной техники;
• НСД к информации на съѐмных носителях информации (включая распечатки на бумажных носителях);

Способы защиты информации

При работе в сети Internet помогает прежде всего «межсетевой экран», позволяющий не только защититься от несанкционированных действий со стороны внешних сетей, но и организовать надежную защиту выделенного сервера или группы серверов внутри собственной сети или разделить целесообразным образом сегменты внутренней сети.

Для крупной  корпоративной сети для отражения  атак, из другой сети важное значение имеет надежная защита с помощью дополнительных программ по обнаружению и отражению нападений, выявлению злонамеренных приложений и вирусов. Подобные продукты значительно дополняют возможности вышеназванных межсетевых.

 

ЗАКЛЮЧЕНИЕ

Использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем для руководства организацией. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным. Все увеличивается число компьютерных преступлений, что может привести в конечном счете к подрыву экономики. И поэтому должно быть ясно, что информация - это ресурс, который надо защищать.

Ответственность за защиту информации лежит на низшем звене руководства. Но также кто-то должен осуществлять общее руководство этой деятельностью, поэтому в организации должно иметься лицо в верхнем звене руководства, отвечающее за поддержание работоспособности информационных систем.

И так  как автоматизация привела к  тому, что теперь операции с вычислительной техникой выполняются простыми служащими организации, а не специально подготовленным техническим персоналом, нужно, чтобы конечные пользователи знали о своей ответственности за защиту информации.

Единого рецепта, обеспечивающего 100% гарантии сохранности данных и надежной работы сети не существует. Однако создание комплексной, продуманной концепции безопасности, учитывающей специфику задач конкретной организации, поможет свести риск потери ценнейшей информации к минимуму.

Итак, информационная безопасность - это состояние защищенности информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

Информационная  безопасность организации - состояние защищенности информационной среды организации, обеспечивающее ее формирование, использование и развитие.

Проектирование  и разработка систем информационной безопасности – это всегда индивидуальные решения, основанные на специфике бизнеса  заказчика, поэтому информационная безопасность может быть обеспечена множеством способов.

 

 

 

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ

1. Информационное право России. Учебное пособие Издательство: Дашков и К 2008г. - 359 с.
2. Садердинов А. А., Трайнѐв В. А., Федулов А. А. Информационная безопасность предприятия: Учебное пособие.-2-е изд. - М., Издательско-торговая корпорация «Дашков и К», 2005. - 336 с.
3. Цирлов В.Л. Основы информационной безопасности автоматизированных систем. Краткий курс. Волгоград: Феникс, 2003. – 173 с.

 

Задание 2

Анализ деятельности предприятия

Название и форма организации

Муниципальное общеобразовательное учреждение «Средняя общеобразовательная школа №3» городского округа Краснотурьинск. Школа №3 обеспечивает получение начального, основного, среднего общего образования. Миссия школы состоит в удовлетворении потребностей всех детей в качественном и улучшенном образовании, что одновременно означает работу по удовлетворению социальной и государственной потребности в формировании интеллектуального потенциала поселка, города, региона, страны.