Основы информационной безопасности на предприятии пищевой промышленности

Кулеш Инна Сергеевна, группа 4432\1-1, тема «Основы информационной безопасности  на предприятии пищевой промышленности»

Контрольная работа по дисциплине «Основы информационной безопасности»

Содержание

 

 

Введение

 

Актуальность выбранной темы. Существенное влияние на процесс обеспечения информационной безопасности организации оказывает профиль ее деятельности. Это связано с тем, что он определяет:

- виды информации, с которой работает организация (коммерческая тайна, профессиональная тайна, служебная тайна, персональные данные и т. д.);

-способы обработки информации и каналы ее передачи;

-уровень доступа посторонних лиц на территорию организации и т. д.

Каждая организация вынуждена искать свои методы и способы управления уровнем информационной безопасности. Унификация подходов позволила бы снизить трудоемкость данного процесса.

С учетом вышесказанного была определена цель исследований - разработка унифицированной методики управления уровнем информационной безопасности (ИБ) на предприятии пищевой промышленности.

Исходя из поставленной цели в работе определены следующие задачи:

- дать краткую характеристику  предметной области;

- проанализировать законодательство по теме исследования;

- раскрыть модель угроз и  модель нарушителя информационной  безопасности на предприятии пищевой промышленности;

- выявить рекомендации по организации  системы защиты информации.

Структура работы. Работа состоит из введения, пяти параграфов, заключения, глоссария и списка использованной литературы.

 

 

 

 

1 Характеристика информационной  безопасности на предприятиях пищевой промышленности

 

Развитие информационнъгх технологий, а также их повсеместное проникновение в самые различные сферы деловой деятельности привело к тому, что компьютерная информация может иметь вполне определенную стоимость. Поэтому одна из важнейших проблем развития информационных технологий на предприятии и организации — надежное обеспечение информационной безопасности. Ее решение — изучение форм, способов и методов выявления и предупреждения опасности в информационной сфере, а также управление информационной безопасностью на предприятии, выбор средств защиты1.

Деятельность по защите охраняемой обладателем информации, в первую очередь, связана с предупреждением утечки конфиденциальной информации. Согласно указу Президента РФ выделяют виды конфиденциальной информации: служебная тайна, персональные данные, тайна следствия и судопроизводства, адвокатская, нотариальная, коммерческая тайна, тайна сущности изобретения до момента опубликования, профессиональная тайна, тайна связи, банковская, врачебная, налоговая тайна. В качестве защищаемого субъекта будем рассматривать коммерческую организацию – Сервисный Центр.

В России сложилась и определенным образом реализуется система обеспечения информационной безопасности. Основы функционирования этой системы определяются Федеральными законами, Указами Президента Российской Федерации, руководящими и методическими документами федеральных органов исполнительной власти, относящимися к сфере информационных технологий и информационной безопасности.

Вместе с тем, в настоящее время противоборствующими сторонами активно развивается широкий спектр новых методов и технологий информационного воздействия как на отдельные средства вычислительной техники, так и на информационно-телекоммуникационные системы и автоматизированные системы управления органов государственного и военного управления, реализация которых направлена на получение несанкционированного доступа к информационным ресурсам и нарушение их функциональной устойчивости. Усилено ведется разработка новых информационных технологий для проведения информационных атак на автоматизированные системы управления, постоянно совершенствуется уже существующие и появляются новые способы и средства проведения атак, а число компьютерных инцидентов ежегодно увеличивается.

При этом автоматизированные системы управления рассматриваются в качестве одного из основных приоритетных объектов комплексного деструктивного воздействия, направленного на завоевание информационного превосходства и нарушение (затруднение) управления. В этих условиях проблема обеспечения информационной безопасности в различных условиях обстановки становится одной из ключевых в решении задач построения автоматизированной системы управления.

Цель управления информационной безопасностью — обеспечение безопасности информации и объектов инфраструктуры, сохранение конфиденциальности, целостности и доступности информации и единства информационного пространства компании. В задачи управления входят построение моделей нарушителей и угроз безопасности информационных ресурсов организации. В рамках управления формируются требования к подсистемам обеспечения защиты информации, используемым в организации (на предприятии), осуществляется контроль их выполнения, разрабатываются планы долгосрочного и среднесрочного развития программы информационной безопасности, реализуется ряд других важных мероприятий, направленных на достижение требуемого уровня информационной безопасности. К объектам защиты информации обычно относят: объекты информационной инфраструктуры, включающие программно-технические комплексы обработки и хранения информации; объекты автоматизированных систем управления и информационных систем (ИС), включающие: отдельные автоматизированные рабочие места и локальные вычислительные сети, серверные сегменты, программно-технические комплексы поддержания;системы документооборота.

 

 

2 Обзор Законодательства

 

В Указе Президента РФ от 12 мая 2009 г. N 537 "О Стратегии национальной безопасности Российской Федерации до 2020 г."2 предусмотрено: преодоление технологического отставания в важнейших областях информатизации, телекоммуникаций и связи, определяющих состояние национальной безопасности; обеспечение условий для гармонизации национальной информационной инфраструктуры с глобальными информационными сетями и системами.

 Результаты анализа этого важного документа свидетельствуют, что к содержанию информационной безопасности, проблемам защищенности интересов государства в этой сфере относятся положения только пяти статей. Именно в них обозначены угрозы, связанные с информационной безопасностью и национальной безопасностью в различных сферах.

В Доктрине Информационной безопасности Российской Федерации (утв. Президентом РФ от 9 сентября 2000 г. N Пр-1895)3, которая является основой для формирования государственной политики в области обеспечения информационной безопасности Российской Федерации, указано, что она развивает Стратегию национальной безопасности Российской Федерации до 2020 г.).

В сервисных центрах информационной безопасность должна учитываться в первую очередь в отношении коммерческой тайны.

Основные понятия, непосредственно связанные с термином Коммерческая тайна, наиболее полно приведены в Федеральном законе «О коммерческой тайне»4. Приводимые ниже определения далеки от совершенства, но остается руководствоваться ими, как единственными легальными. Детальное рассмотрение вопросов, связанных с нижеуказанными понятиями, будет сделано в соответствующих главах.

«Коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду»5. Коммерческая тайна представляет собой не разновидность информации, а ее определенное состояние - конфиденциальность, которая позволяет обладателю информации получить исключительно коммерческую выгоду в виде: увеличения доходов, избегания неоправданных расходов, сохранения положения на рынке либо получения иной коммерческой выгоды.

К коммерческой тайне может быть отнесена научно-техническая, технологическая и производственная, в том числе секреты производства, финансово-экономическая, организационная и иная информация. Формой проявления коммерческой тайны являются коммерческие секреты, то есть документы, схемы, чертежи, образцы, содержащие в себе сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью организации, разглашение или передача которых может нанести ущерб ее интересам.

Поскольку разглашение информации, составляющей коммерческую тайну, угрожает экономической безопасности предприятия, использование такой информации должно сопровождаться строгим соблюдением требований ее защиты. Но следует помнить, что чрезмерное засекречивание информации делает ее недоступной не только для конкурентов, но и для возможных партнеров. Поэтому необходим тщательный отбор не подлежащей разглашению информации.

Перечень сведений, которые составляют коммерческую тайну, определяется руководством организации, им же утверждается инструкция по работе с секретными документами. Кроме руководителей, носителями коммерческой тайны являются и другие служащие, по роду своей деятельности имеющие доступ к такой информации.

К информации, которая не может составлять коммерческую тайну, относится информация6:

- содержащаяся в учредительных документах;

- содержащаяся в документах, дающих право заниматься предпринимательской деятельностью (лицензиях и др.);

- содержащаяся в годовых отчетах, бухгалтерских балансах, формах годовой бухгалтерской отчетности, а также в иных документах, связанных с исчислением и уплатой налогов и других обязательных платежей;

- содержащая сведения о численности и составе работников, условиях труда, о наличии свободных рабочих мест;

- о перечне лиц, имеющих право совершать сделки без доверенности от имени юридического лица;

- о реализации продукции, причиняющей вред здоровью населения;

- состоянии экологии, противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке.

Не может составлять коммерческую тайну и другая информация, для которой действующим законодательством введены соответствующие ограничения.

В соответствии с Трудовым кодексом Российской Федерации7 в трудовом договоре могут предусматриваться условия о неразглашении работником сведений, составляющих коммерческую тайну, ставших известными работнику в связи с исполнением им своих должностных обязанностей.

При разглашении работником таких сведений работодатель вправе расторгнуть с ним трудовой договор.

В Гражданском кодексе Российской Федерации8 установлено, что лица, незаконными методами получившие информацию, которая составляет коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших коммерческую тайну вопреки трудовому договору.

Уголовным кодексом Российской Федерации предусмотрена ответственность за собирание сведений, составляющих коммерческую тайну, путем похищения, подкупа, угроз или иным незаконным способом, а также незаконные разглашение или использование таких сведений без согласия их владельца, совершенные из корыстной или иной личной заинтересованности и причинившие крупный ущерб9.

 

 

 

3 Модель угроз и модель нарушителя

 

Утечка охраняемой информации обычно становится возможной вследствие совершения нарушений режима работы с конфиденциальной информацией. Каналы утечки информации в информационных системах обработки конфиденциальных данных разобьем на группы.

К первой группе относят каналы, образующиеся за счет дистанционного скрытого видеонаблюдения или фотографирования, применения подслушивающих устройств, перехвата электромагаитных излучений и наводок и так далее.

Во вторую группу включают наблюдение за информацией в процессе обработки с целью ее запоминания, хищение ее носителей, сбор производственных отходов, содержащих обрабатываемую информацию, преднамеренное считывание данных из файлов других пользователей, чтение остаточной информации, то есть данных, остающихся на магнитных носителях после выполнения заданий, и так далее.

К третьей группе относят незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или линиям связи, злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации, злоумышленный вывод из строя механизмов защиты.

К четвертой группе относят несанкционированное получение информации путем подкупа или шантажа должностных лиц соответствующих служб, сотрудников, знакомых, обслуживающего персона или родственников, знающих о роде деятельности.

Также необходимо отметить, что низкий уровень конфиденциальности в первую очередь связан с нарушениями в организации пропускного режима. Эти нарушения могут быть результатом реализации угрозы «Подкуп персонала», которая реализуется через уязвимость «Мотивированность персонала на совершение деструктивных действий». Уровень данной уязвимости может быть снижен путем соответствующей работы с персоналом и путем усиления контроля за работой сотрудников.

На уровень целостности и доступности наибольшее влияние оказывают также повреждения каналов передачи данных. К этим повреждениям может привести сбой, который, в свою очередь, может произойти из-за низкой надежности каналов. Повысить надежность можно путем усиления работы службы технической поддержки и путем заземления основного и вспомогательного оборудования, используемого при обработке информации.

Эти данные послужат основанием для разработки рекомендаций по усилению мер, направленных на обеспечение конфиденциальности, целостности и доступности информации. Необходимо усилить контроль над работой сотрудников, провести тренинги для сотрудников, посвященные ИБ; заземлить основное и вспомогательное оборудование, используемое при обработке информации; усилить специалистами службы технической поддержки и внести изменения в должностные инструкции работников данной службы.