Организационные меры по обеспечению безопасности на предприятии

Министерство  образования Российской Федерации

 «Российский  государственный профессионально-педагогический  университет»

Кафедра сетевых  информационных систем

 

 

 

 

 

 

 

 

Контрольная РАБОТА

по дисциплине

«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»

Тема: Организационные  меры по обеспечению безопасности на предприятии

 

Вариант № 5

 

 

 

 

 

 

 

 

Дата сдачи работы: «___»______20__г. Работу принял: _______/_________ (подпись) (расшифровка)

Работу выполнил: Лихоман Н.З. студент группы КП-512ИЭ Работу проверил: _______/_________ (подпись)(расшифровка)

 

 

 

 

 

 

 

 

 

 

 

 

Екатеринбург 2011 

СОДЕРЖАНИЕ

 

Задание 1 3

ВВЕДЕНИЕ 3

ПРОБЛЕМЫ БЕЗОПАСНОСТИ ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ (ЛВС) И ИНТЕГРИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ УПРАВЛЕНИЯ ПРЕДПРИЯТИЕМ (ИИСУП) 9

ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ КОМПЛЕКСНОЙ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 11

ОСНОВНЫЕ ЗАДАЧИ, РЕШАЕМЫЕ СИСТЕМОЙ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ 13

ЗАКЛЮЧЕНИЕ 19

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ 21

Задание 2 22

Анализ деятельности предприятия 22

 

 

 

Задание 1

ВВЕДЕНИЕ

В настоящее  время информационная безопасность является одной из важнейших проблем  современного общества.

В начале 80-х гг. XX века защита информации могла  быть эффективно обеспечена при помощи специально разработанных организационных  мер и программно - аппаратах средств  шифрования. С изобретением локальных  и глобальных сетей, каналов спутниковой  связи вопрос об информационной безопасности встал наиболее остро.

Информационная  безопасность предприятия — это  защищенность информации, которой располагает предприятие (производит, передает или получает) от несанкционированного доступа, разрушения, модификации, раскрытия и задержек при поступлении. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода.

Целью комплексной  информационной безопасности является сохранение информационной системы предприятия в целости и сохранности, защита и гарантирование полноты и точности выдаваемой ею информации, минимизация разрушений и модификация информации, если таковые случаются.

Компьютеризация, развитие телекоммуникаций предоставляют  сегодня широкие возможности  для автоматизированного доступа  к различным конфиденциальным, персональным и другим важным, критическим данным в обществе (его граждан, организаций и т. д.). Естественно, люди осознают появление такого ряда новых рисков и начинают беспокоиться об обеспечении необходимой безопасности подобной информации. Так, фирмы, долгое время специализировавшиеся на охране людей и объектов, начали выделять в качестве отдельного направления своей деятельности «компьютерную» безопасность, а в структуру практически всех компаний, занимающихся системной интеграцией, были введены специальные подразделения, разрабатывающие собственные комплексные меры по информационной безопасности.

Проблема  создания и поддержания защищенной среды информационного обмена, реализующая определенные правила и политику безопасности современной организации, является весьма актуальной. Информация давно уже перестала играть эфемерную, чисто вспомогательную роль, превратившись в весьма важный и весомый, чуть ли не материальный, фактор со своими стоимостными характеристиками, определяемыми той реальной прибылью, которую можно получить от ее (информации) использования. В то же время, вполне возможен сегодня и вариант ущерба, наносимого владельцу информации (предприятию) путем несанкционированного проникновения в информационную структуру и воздействия на ее компоненты. Из этого очевидно, насколько актуален в наши дни вопрос с защитой информационных систем предприятий.

 

ОСНОВНЫЕ ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ  ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ 

Основными принципами информационной безопасности являются:

• обеспечение целостности и сохранности данных, т.е. надежное их хранение в неискаженном виде;
• соблюдение конфиденциальности информации (ее недоступность для тех пользователей, которые не имеют соответствующих прав);
• доступность информации для всех авторизованных пользователей при условии контроля за всеми процессами использования ими получаемой информации;
• беспрепятственный доступ к информации в любой момент, когда она может понадобиться предприятию.

Эти принципы невозможно реализовать без особой интегрированной системы информационной безопасности, выполняющей следующие  функции:

• выработку политики информационной безопасности;
• анализ рисков (т.е. ситуаций, в которых может быть нарушена нормальная работа информационной системы, а также утрачены или рассекречены данные);
• планирование мер по обеспечению информационной безопасности;
• планирование действий в чрезвычайных ситуациях;
• выбор технических средств обеспечения информационной безопасности.

Политика  информационной безопасности определяет:

• какую информацию и от кого (чего) следует защищать;
• кому и какая информация требуется для выполнения служебных обязанностей;
• какая степень защиты необходима для каждого вида информации;
• чем грозит потеря того или иного вида информации;
• как организовать работу по защите информации.

Обычно  руководители организации решают, какой  риск должен быть исключен, а на какой можно пойти, они же затем определяют объем и порядок финансирования работ по обеспечению выбранного уровня информационной безопасности.

Идентификация угроз означает уяснение наступления из-за этого возможных негативных воздействий и последствий. Реализация угрозы может привести к раскрытию, модификации, разрушению информации или отказу в информационном обслуживании. Среди долговременных последствий реализации угрозы могут быть такие, как потеря бизнеса, нарушение какой-либо важной тайны, гражданских прав, адекватности данных, гибель человека и т.п. К последним следует относить: неавторизованный доступ к локальным вычислительным сетям (ЛВС), несоответствующий доступ к ресурсам ЛВС, неавторизованную модификацию данных и программ, раскрытие данных, раскрытие трафика ЛВС, подмену трафика ЛВС и, наконец, неработоспособность ЛВС.

Политика в отношении безопасности должна быть такой, чтобы как можно реже требовалась ее модификация. В этой связи, может быть, более разумно просто принять положение о том, что программное обеспечение обнаружения вирусов должно находиться на персональном компьютере (ПК) ЛВС, серверах и т. д., а администраторы ЛВС должны каждый раз сами определять конкретный используемый информационный продукт.

Все дело в том, что стандарты и рекомендации статичны, по крайне мере, в двух аспектах. Во-первых, они не учитывают обычно постоянной перестройки защищаемых систем и их окружения. Во-вторых, они содержат лишь критические рекомендации по формированию режима безопасности.

Другими словами, стандарты и рекомендации являются лишь отправной точкой в длинной и сложной цепочке действий по защите информационных систем организаций. Обеспечение безопасности - это комплексная проблема, для решения которой требуется сочетание законодательных, организационных и программно-технических мер. К сожалению, законодательная база сегодня отстает от потребностей практики, а имеющиеся законы и указы носят в основном теоретический характер. Одновременно следует учитывать, что в нашей стране сегодня чаще используется зарубежное аппаратно-программное обеспечение. В условиях жестких ограничений на импорт подобной продукции и отсутствия межгосударственных соглашений о взаимном признании сертификатов, потребители, желающие оставаться законопослушными, оказываются по существу в безвыходном положении, так как у них подчас нет возможности заказать (и получить) современную систему по информационной безопасности «под ключ» и с сертификатом безопасности.

Следующий уровень этой проблемы после законодательного - управленческий. Руководство каждой организации должно само определиться с необходимым ему режимом безопасности и выделить для его обеспечения ресурсы нередко значительные. Главное, надо выработать политику безопасности, которая задаст общее направление работ в данной области. Важный момент при выработке политики безопасности - анализ угроз и выбор адекватных мер противодействия.

Для поддержания  режима информационной безопасности особое значение имеют также программно-технические меры, поскольку основная угроза компьютерным системам исходит прежде всего от самих этих систем (сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т. п.).

В качестве средств защиты данных от попыток  несанкционированного доступа к  ним как с внешней стороны, так и изнутри, предлагаются современные программно-технические средства. В комплексы защиты могут входить различные по составу и функциональному назначению системы и средства, применяемые, во-первых, в соответствии с идеологией, заложенной в основу построения тех или иных систем управления, и, во-вторых, с учетом принятого уровня информационной безопасности, учитывающего возможные дестабилизирующие факторы.

Одним из нужных шагов в решении проблемы безопасности интегрированных систем организационного типа следует считать необходимость создания органа, который бы мог заниматься сертификацией средств и методов защиты информации при работе именно с такими системами.

 

ПРОБЛЕМЫ БЕЗОПАСНОСТИ ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ (ЛВС) И ИНТЕГРИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ УПРАВЛЕНИЯ ПРЕДПРИЯТИЕМ (ИИСУП)

Для обеспечения  безопасности локальных вычислительных сетей (ЛВС) и ИИСУП необходимы:

• разработка адекватной политики управления и безопасности ЛВС и ИИСУП в целом;
• обучение персонала предприятия особенностям использования ЛВС и ее защиты;
• использование адекватных механизмов защиты для рабочих станций;
• применение адекватной защиты в ходе передачи информации.

Политика  безопасности должна определять роль, каждого служащего в деле ЛВС реализации адекватной защищенности и передаваемой в ней информации.

Управление  ЛВС и ИИСУП должно иметь необходимые  для нормальной работы финансовые средства, время и ресурсы. Слабое управление сетью может приводить к ошибкам защиты. В результате этого могут появиться такие проблемы, как ослабленная конфигурация защиты, небрежное выполнение мер по защите или даже неиспользование необходимых механизмов защиты информации. Использование ПК в среде ЛВС и ИИСУП также сопровождается своими рисками. В ПК практически отсутствуют меры защиты в отношении аутентификации пользователей, управления доступом к файлам, ревизии деятельности пользователей и т. д. В большинстве случаев защита информации, хранимой и обрабатываемой на сервере ЛВС прекращается в тот момент, когда она посылается на ПК.

«Малограмотность» пользователей в отношении безопасности ЛВС и ИИСУП также увеличивает риски. Ведь люди, не знакомые с механизмами защиты, мерами защиты и т. п. вполне могут использовать их неправильно и, уж конечно, не безопасно. Ответственность за внедрение механизмов и мер защиты, а также за следование правилам использования ПК в среде ЛВС и ИИСУП обычно ложится на пользователей ПК. Поэтому им должны быть даны соответствующие инструкции и рекомендации для поддержания приемлемого уровня защиты в среде ЛВС и ИИСУП.

 

ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ  КОМПЛЕКСНОЙ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ТРЕБОВАНИЯ  ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОРПОРАТИВНОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ  ПРЕДПРИЯТИЯ

Как правило, они включают в себя:

• Организационные меры защиты, сводящиеся к регламентации;

• допуска к использованию информационных ресурсов;

• процессов проведения технологических операций с информационными ресурсами КИС;
• процессов эксплуатации, обслуживания и модификации аппаратных и программных ресурсов.

• Технические меры и методы защиты, заключающиеся в применении средств;

• идентификации и аутентификации;
• разграничения доступа;
• обеспечения и контроля целостности;
• антивирусной защиты;
• межсетевого экранирования;
• контроля электронной почты;
• контроля и регистрации событий безопасности;
• криптографической защиты;
• виртуальных частных сетей (VPN);
• централизованного управления системой информационной безопасности.

ТРЕБОВАНИЯ  К ПРОГРАММНО-АППАРАТНЫМ СРЕДСТВАМ

Программно-аппаратные средства ИС предприятия должны:

• обеспечивать возможность комплексного решения вопросов защиты информации, в том числе возможность удаленного администрирования;
• иметь встроенные средства криптографической защиты информации и поддерживать технологию электронной подписи;
• полноценно функционировать в распределенной корпоративной среде и иметь минимальное программное обеспечение на клиентских местах;
• учитывать требования действующих нормативных документов по защите информации АС, а также законодательство Российской Федерации, ГОСТы, нормативные, руководящие и другие документы уполномоченных государственных органов по вопросам информатизации, защиты информации и обеспечения информационной безопасности.