Найуразливішим місцем у системі безпеки можна назвати співробітників підприємства та програмно-апаратні засоби. Зокрема, не виконується резервне копіювання даних на персональних комп'ютерах при відмовах обладнання деякі важливі дані можуть бути втрачені; не виконується оновлення операційної системи MS Windows XP і ПЗ, що використовується, що може призвести до несанкціонованого доступу до інформації, що зберігається на ПК, або її пошкодження через помилки в ПЗ; доступ співробітників до ресурсів Інтернету не контролюється, через це може статися витік даних; ділове електронне листування ведеться через Інтернет незахищеними каналами, повідомлення електронної поштизберігаються на серверах поштових служб в Інтернеті; деякі співробітники мають недостатні навички роботи з автоматизованими системами, що використовуються в академії, що може призвести до появи в системі неправильних даних; співробітники мають доступ до персональних комп'ютерів своїх колег, що через необережність може призвести до втрати даних; доступ до архіву мають усі співробітники факультету, внаслідок чого деякі особисті справи можуть бути втрачені або їх пошук може зайняти тривалий час; відсутні нормативні документи щодо безпеки.

Головною метою системи інформаційної безпекиє забезпечення стійкого функціонування об'єкта, запобігання загрозам його безпеці, захист законних інтересів підприємства від протиправних посягань, недопущення розголошення, втрати, витоку, спотворення та знищення службової інформації та персональної інформації, забезпечення нормальної виробничої діяльності всіх підрозділів об'єкта.

Іншою метою системи інформаційної безпеки є підвищення якості послуг та гарантій безпеки.

Завдання формування системи інформаційної безпеки в організації: цілісність інформації, достовірність інформації та її конфіденційність. За виконання поставлених завдань, мета буде реалізована.

Створення систем інформаційної безпеки в ІС та ІТ ґрунтується на наступних принципах:

Системний підхід до побудови системи захисту, що означає оптимальне поєднання взаємопов'язаних організаційних, програмних, апаратних, фізичних та інших властивостей, підтверджених практикою створення вітчизняних та зарубіжних систем захисту та застосовуваних на всіх етапах технологічного циклу обробки інформації.

Принцип безперервного розвитку. Цей принцип, що є одним із основоположних для комп'ютерних інформаційних систем, ще актуальніший для СІБ. Способи реалізації погроз інформації в ІТ безперервно вдосконалюються, а тому забезпечення безпеки ІВ не може бути одноразовим актом. Це безперервний процес, що полягає в обґрунтуванні та реалізації найбільш раціональних методів, способів та шляхів удосконалення СІБ, безперервному контролі, виявленні її вузьких та слабких місць, потенційних каналів витоку інформації та нових способів несанкціонованого доступу

Поділ і мінімізація повноважень щодо доступу до оброблюваної інформації та процедур обробки, тобто. надання як користувачам, так і самим працівникам ІС мінімуму суворо певних повноважень, достатніх для виконання ними своїх службових обов'язків.

Повнота контролю та реєстрації спроб несанкціонованого доступу, тобто. необхідність точного встановлення ідентичності кожного користувача та протоколювання його дій для проведення можливого розслідування, а також неможливість здійснення будь-якої операції обробки інформації в ІТ без її попередньої реєстрації.

Забезпечення надійності системи захисту, тобто. неможливість зниження рівня надійності у разі виникнення в системі збоїв, відмов, навмисних дій зломщика або ненавмисних помилок користувачів та обслуговуючого персоналу.

Забезпечення контролю над функціонуванням системи захисту, тобто. створення засобів та методів контролю працездатності механізмів захисту.

Забезпечення різноманітних засобів боротьби з шкідливими програмами.

Забезпечення економічної доцільності використання системи захисту, що виявляється у перевищенні можливої ​​шкоди ІВ та ІТ від реалізації загроз над вартістю розробки та експлуатації СІБ.

Заходи захисту, що вживаються, повинні бути адекватні ймовірності здійснення даного типузагрози та потенційних збитків, які можуть бути завдані в тому випадку, якщо загроза здійсниться (включаючи витрати на захист від неї).

Необхідно пам'ятати, що багато заходів захисту вимагають досить великих обчислювальних ресурсів, що у своє чергу істотно впливає процес обробки інформації. Тому сучасний підхід до вирішення цієї проблеми полягає у застосуванні в АСУ засад ситуаційного управління захищеністю інформаційних ресурсів. Суть такого підходу полягає в тому, що необхідний рівень безпеки інформації встановлюється відповідно до ситуації, що визначає співвідношення між цінністю інформації, що переробляється, витратами (зниженням продуктивності АСУ, додатковою витратою оперативної пам'ятіта ін), які необхідні для досягнення цього рівня, та можливими сумарними втратами (матеріальними, моральними та ін) від спотворення та несанкціонованого використання інформації.

Необхідні характеристики захисту інформаційних ресурсів визначаються в ході ситуаційного планування за безпосередньої підготовки технологічного процесу захищеної обробки інформації з урахуванням ситуації, що склалася, а також (у скороченому обсязі) під час процесу обробки. Вибираючи захисні заходи, доводиться враховувати не лише прямі витрати на закупівлю обладнання та програм, а й витрати на впровадження новинки, навчання та перепідготовку персоналу. Важливою обставиною є сумісність нового кошти з апаратно-програмною структурою об'єкта, що склалася.

Закордонний досвід у галузі захисту інтелектуальної власності та вітчизняний досвід із захисту державних секретів показують, що ефективним може бути лише комплексний захист, який поєднує в собі такі напрями захисту, як правове, організаційне та інженерно-технічне.

Правове спрямуванняпередбачає формування сукупності законодавчих актів, нормативно-правових документів, положень, інструкцій, посібників, вимоги яких є обов'язковими у межах сфери діяльності у системі захисту інформації.

Організаційний напрямок– це регламентація виробничої діяльності та взаємовідносин виконавців на нормативно-правовій основі таким чином, що розголошення, витік та несанкціонований доступдо конфіденційної інформації стають неможливими або суттєво утрудняються за рахунок проведення організаційних заходів.

На думку фахівців, організаційні заходи відіграють велику роль у створенні надійного механізму захисту інформації, оскільки можливості несанкціонованого використання конфіденційних відомостей значною мірою зумовлені не технічними аспектами, а зловмисними діями, недбалістю, недбалістю та недбалістю користувачів чи персоналу захисту.

До організаційних заходів належать:

Заходи, що здійснюються при проектуванні, будівництві та обладнанні службових та виробничих будівель та приміщень;

Заходи, які здійснюються при доборі персоналу;

Організація та підтримання надійного пропускного режиму, охорони приміщень та території, контролю за відвідувачами;

Організація зберігання та використання документів та носіїв конфіденційної інформації;

Організація захисту інформації;

Організація регулярного навчання працівників.

Одним із основних компонентів організаційного забезпечення інформаційної безпеки компанії є Служба інформаційної безпеки (СІБ – орган управління системою захисту інформації). Саме від професійної підготовленості співробітників служби інформаційної безпеки, наявності в їхньому арсеналі сучасних засобівуправління безпекою багато в чому залежить ефективність заходів захисту інформації. Її штатна структура, чисельність та склад визначаються реальними потребами компанії, ступенем конфіденційності її інформації та загальним станом безпеки.

Основна мета функціонування СІБ, використовуючи організаційні заходи та програмно-апаратні засоби, – уникнути або хоча б звести до мінімуму можливість порушення політики безпеки, у крайньому випадку, вчасно помітити та усунути наслідки порушення.

Для забезпечення успішної роботи СІБ необхідно визначити її права та обов'язки, а також правила взаємодії з іншими підрозділами з питань захисту інформації на об'єкті. Чисельність служби повинна бути достатньою для виконання всіх функцій, що покладаються на неї. Бажано, щоб штатний склад служби у відсутності обов'язків, пов'язані з функціонуванням об'єкта захисту. Служба інформаційної безпеки має бути забезпечена всіма умовами, необхідні виконання своїх функцій.

Ядром інженерно-технічного спрямуванняє програмно-апаратні засоби захисту інформації, до яких належать механічні, електромеханічні, електронні, оптичні, лазерні, радіо- та радіотехнічні, радіолокаційні та інші пристрої, системи та споруди, призначені для забезпечення безпеки та захисту інформації.

Під програмним забезпеченнямбезпеки інформації розуміється сукупність спеціальних програм, що реалізують функції захисту інформації та режиму функціонування.

Сформована сукупність правових, організаційних та інженерно-технічних заходів виливається у відповідну безпекову політику.

Політика безпеки визначає зовнішній вигляд системи захисту інформації у вигляді сукупності правових норм, організаційних (правових) заходів, комплексу програмно- технічних засобівта процедурних рішень, спрямованих на протидію загрозам для виключення або мінімізації можливих наслідків прояву інформаційних впливів. Після ухвалення того чи іншого варіанта політики безпеки необхідно оцінити рівень безпеки інформаційної системи. Природно, що оцінка захищеності здійснюється за сукупністю показників, основними з яких є вартість, ефективність, реалізованість.

Оцінити варіанти побудови системи захисту інформації – завдання досить складне, що вимагає залучення сучасних математичних методів багатопараметричної оцінки ефективності. До них належать: метод аналізу ієрархій, експертні методи, метод послідовних поступок та низка інших.

Коли намічені заходи вжито, необхідно перевірити їхню дієвість, тобто переконатися, що залишкові ризики стали прийнятними. Тільки після цього можна намічати дату найближчої переоцінки. В іншому випадку доведеться проаналізувати допущені помилки та провести повторний сеанс аналізу вразливості з урахуванням змін у системі захисту.

Сформований можливий сценарій дій порушника потребує перевірки системи захисту. Така перевірка називається "тестуванням на проникнення". Ціль – надання гарантій того, що для неавторизованого користувача не існує простих шляхів обійти механізми захисту.

Один з можливих способіватестації безпеки системи – запрошення хакерів для злому без попередження персоналу мережі. Для цього виділяється група із двох-трьох осіб, які мають високу професійну підготовку. Хакерам надається автоматизована система в захищеному виконанні, і група протягом 1–3 місяців намагається знайти вразливі місця та розробити на їх основі тестові засоби для обходу механізмів захисту. Наймані хакери представляють конфіденційну доповідь щодо результатів роботи з оцінкою рівня доступності інформації та рекомендаціями щодо покращення захисту.

Поряд із таким способом використовуються програмні засоби тестування.

На етапі складання плану захистувідповідно до обраної політики безпеки розробляється план його реалізації. План захисту є документом, який запроваджує систему захисту інформації, який затверджується керівником організації. Планування пов'язане не тільки з найкращим використанням усіх можливостей, які має компанія, у тому числі виділених ресурсів, але й із запобіганням помилкових дій, що можуть призвести до зниження ефективності вжитих заходів щодо захисту інформації.

План захисту інформації на об'єкті має включати:

Опис системи, що захищається (основні характеристики об'єкта, що захищається: призначення об'єкта, перелік розв'язуваних завдань, конфігурація, характеристики та розміщення технічних засобів і програмного забезпечення, перелік категорій інформації (пакетів, файлів, наборів і баз даних, в яких вони містяться), що підлягають захисту, та вимог щодо забезпечення доступу, конфіденційності, цілісності цих категорій інформації, список користувачів та їх повноважень щодо доступу до ресурсів системи тощо);

Мета захисту системи та шляхи забезпечення безпеки автоматизованої системи та циркулюючої в ній інформації;

Перелік значних загроз безпеці автоматизованої системи, від яких вимагається захист, та найімовірніших шляхів заподіяння шкоди;

Політика інформаційної безпеки;

План розміщення коштів та функціональну схемусистеми захисту інформації на об'єкті;

Специфікацію засобів захисту інформації та кошторис витрат на їх впровадження;

Календарний план проведення організаційних та технічних заходів щодо захисту інформації, порядок введення в дію засобів захисту;

Основні правила, що регламентують діяльність персоналу з питань забезпечення інформаційної безпеки об'єкта (особливі обов'язки посадових осіб, які обслуговують автоматизовану систему);

Порядок перегляду плану та модернізації засобів захисту.

Перегляд плану захисту здійснюється за зміни наступних компонентів об'єкта:

Архітектури інформаційної системи(підключення інших локальних мереж, зміна або модифікація використовуваних засобів обчислювальної технікиабо ПЗ);

Територіальне розташування компонентів автоматизованої системи.

У межах плану захисту необхідно мати план дій персоналу критичних ситуаціях, тобто. план забезпечення безперервної роботи та відновлення інформації. Він відбиває:

Мета забезпечення безперервності процесу функціонування автоматизованої системи, відновлення її працездатності та шляхи її досягнення;

Перелік та класифікацію можливих кризових ситуацій;

Вимоги, заходи та засоби забезпечення безперервної роботи та відновлення процесу обробки інформації (порядок створення, зберігання та використання резервних копійінформації, ведення поточних, довготривалих та аварійних архівів; склад резервного обладнання та порядок його використання тощо);

Обов'язки та порядок дій різних категорій персоналу системи у кризових ситуаціях, при ліквідації їх наслідків, мінімізації завданих збитків та при відновленні нормального функціонування системи.

Якщо організація здійснює обмін електронними документами з партнерами щодо виконання єдиних замовлень, то необхідно до плану захисту включити договір про порядок організації обміну електронними документами, в якому відображаються такі питання:

Розмежування відповідальності суб'єктів, що у процесах обміну електронними документами;

Визначення порядку підготовки, оформлення, передачі, прийому, перевірки справжності та цілісності електронних документів;

Порядку генерації, сертифікації та розповсюдження ключової інформації (ключів, паролів тощо);

Порядку вирішення спорів у разі конфліктів.

План захисту інформації є пакетом текстуально-графічних документів, тому поряд із наведеними компонентами цього пакета до нього можуть входити:

Положення про комерційну таємницю, що визначає перелік відомостей, що становлять комерційну таємницю, та порядок його визначення, а також обов'язки посадових осіб щодо захисту комерційної таємниці;

Положення про захист інформації, що регламентує всі напрямки діяльності з реалізації політики безпеки, а також низку додаткових інструкцій, правил, положень, що відповідають специфіці об'єкта захисту.

Реалізація плану захисту (управління системою захисту)передбачає розробку необхідних документів, укладання договорів із постачальниками, монтаж та налаштування обладнання тощо. буд. Після формування системи захисту інформації вирішується завдання її ефективного використання, тобто управління безпекою.

Управління – процес цілеспрямованого на об'єкт, здійснюваний в організацію його функціонування по заданої програмі.

Управління інформаційною безпекою має бути:

Стійким до активних втручань порушника;

Безперервним, що забезпечує постійний вплив на процес захисту;

Прихованим, який не дозволяє виявляти організацію управління захистом інформації;

Оперативним, що забезпечує можливість своєчасно та адекватно реагувати на дії зловмисників та реалізовувати управлінські рішення до заданого терміну.

Крім того, рішення щодо захисту інформації повинні бути обґрунтованими з погляду всебічного обліку умов виконання поставленого завдання, застосування різних моделей, розрахункових та інформаційних завдань, експертних систем, досвіду та будь-яких інших даних, що підвищують достовірність вихідної інформації та прийнятих рішень.

Показником ефективності управління захистом інформації є час циклу управління при заданій якості прийнятих рішень. У цикл управління входить збирання необхідної інформації для оцінки ситуації, прийняття рішення, формування відповідних команд та їх виконання. Як критерій ефективності може використовуватися час реакції системи захисту на порушення, яке має перевищувати часу старіння інформації з її цінності.

Як показує розробка реальних АСУ, жоден із способів (заходів, засобів та заходів) забезпечення безпеки інформації не є абсолютно надійним, а максимальний ефект досягається при об'єднанні всіх їх у цілісну систему захисту інформації. Тільки оптимальне поєднання організаційних, технічних та програмних заходів, а також постійна увага та контроль за підтримкою системи захисту в актуальному стані дозволять з найбільшою ефективністю забезпечити вирішення постійного завдання.

Методологічні основи забезпечення інформаційної безпеки досить загальними рекомендаціями, що базуються на світовому досвіді створення подібних систем. Завдання кожного спеціаліста із захисту інформації – адаптувати абстрактні положення до своєї конкретної предметної галузі (організації, банку), в якій завжди знайдуться свої особливості та тонкощі.

Аналіз вітчизняного та зарубіжного досвіду переконливо доводить необхідність створення цілісної системи інформаційної безпеки компанії, що ув'язує оперативні, оперативно-технічні та організаційні заходи захисту. Причому система безпеки має бути оптимальною з погляду співвідношення витрат і цінності ресурсів, що захищаються. Необхідна гнучкість і адаптація системи до факторів, що швидко змінюються. довкілля, організаційній та соціальній обстановці в установі. Досягти такого рівня безпеки неможливо без аналізу існуючих загроз та можливих каналів витоку інформації, а також без вироблення політики інформаційної безпеки на підприємстві. У результаті має бути створено план захисту, який реалізує принципи, закладені у безпеці.

Але існують й інші складності та «підводні камені», на які обов'язково потрібно звернути увагу. Це проблеми, виявлені практично і слабо піддаються формалізації: проблеми не технічного чи технологічного характеру, що так чи інакше вирішуються, а проблеми соціального і політичного характеру.

Проблема 1.Відсутність розуміння у персоналу та керівників середнього та нижнього рангу необхідності проведення робіт щодо підвищення рівня інформаційної безпеки.

На цій сходинці управлінських сходів, як правило, не видно стратегічних завдань, що стоять перед організацією. Питання безпеки можуть викликати навіть роздратування – вони створюють «непотрібні» труднощі.

Часто наводяться такі аргументи проти проведення робіт та вжиття заходів щодо забезпечення інформаційної безпеки:

Поява додаткових обмежень для кінцевих користувачів та фахівців підрозділів, що ускладнює їхнє користування автоматизованою системою організації;

Необхідність додаткових матеріальних витрат як проведення таких робіт, і розширення штату фахівців, котрі займаються проблемою інформаційної безпеки.

Зазначена проблема є одним із основних. Всі інші питання так чи інакше виступають як її наслідки. Для її подолання важливо вирішити такі завдання: по-перше, підвищити кваліфікацію персоналу у сфері захисту інформації шляхом проведення спеціальних зборів, семінарів; по-друге, підвищити рівень поінформованості персоналу, зокрема, про стратегічні завдання, які стоять перед організацією.

Проблема 2.Протистояння служби автоматизації та служби безпеки організацій.

Ця проблема зумовлена ​​родом діяльності та сферою впливу, а також відповідальності цих структур усередині підприємства. Реалізація системи захисту перебуває у руках технічних фахівців, а відповідальність за її захищеність лежить на службі безпеки. Фахівці служби безпеки хочуть будь-що обмежити за допомогою міжмережевих екранів весь трафік. Але люди, які працюють у відділах автоматизації, не бажають вирішувати додаткових проблем, пов'язаних з обслуговуванням спеціальних засобів. Такі розбіжності не найкраще позначаються лише на рівні захищеності всієї організації.

Вирішується ця проблема, як більшість подібних, суто управлінськими методами. Важливо, по-перше, мати в організаційній структурі фірми механізм вирішення подібних суперечок. Наприклад, обидві служби можуть мати єдине начальство, яке вирішуватиме проблеми їхньої взаємодії. По-друге, технологічна та організаційна документації повинні чітко та грамотно ділити сфери впливу та відповідальності підрозділів.

Проблема 3.Особисті амбіції та взаємини лише на рівні керівників середньої та вищої ланки.

Взаємини між керівниками можуть бути різними. Іноді під час проведення робіт з вивчення інформаційної захищеності те чи інше посадова особа виявляє надзацікавленість у цих робіт. Дійсно, дослідження – це досить сильний інструмент для вирішення їхніх приватних проблем та задоволення амбіцій. Висновки та рекомендації, записані у звіті, використовуються як план до подальшим діямтієї чи іншої ланки. Можливе також і «вільне» трактування висновків звіту у поєднанні з проблемою 5, описаною нижче. Така ситуація є вкрай небажаним чинником, оскільки спотворює сенс проведення робіт і потребує своєчасного виявлення та ліквідації лише на рівні вищого керівництва підприємства. Найкращим варіантомє ділові взаємовідносини, коли в основу ставляться інтереси організації, а не особисті.

Проблема 4.Низький рівень виконання наміченої програми дій щодо створення системи захисту інформації.

Це досить банальна ситуація, коли стратегічні цілі та завдання губляться на рівні виконання. Все може починатися бездоганно. Генеральний директор приймає рішення щодо необхідності вдосконалення системи інформаційної безпеки. Наймається незалежна консалтингова фірма, яка виконує аудит системи захисту інформації. Після закінчення формується звіт, що включає всі необхідні рекомендації щодо захисту інформації, доопрацювання існуючого документообігу в галузі інформаційної безпеки, щодо впровадження технічних засобів захисту інформації та організаційних заходів, подальшої підтримки створеної системи. План захисту включає короткострокові та довгострокові заходи. Далі рекомендації передаються на виконання до одного з підрозділів. І тут важливо, щоб вони не потонули в болоті бюрократії, особистих амбіцій, неквапливості персоналу та десятці інших причин. Виконавець може бути погано поінформований, недостатньо компетентний або не зацікавлений у виконанні робіт. Важливо, щоб генеральний директор проконтролював виконання наміченого плану, щоб не втратити, по-перше, кошти, вкладені в безпеку на початковому етапі, по-друге, щоб не зазнати втрат внаслідок відсутності цієї безпеки.

Проблема 5.Низька кваліфікація фахівців із захисту інформації.

Цей аспект можна вважати серйозною перешкодою, якщо він перешкодою шляху створення системи захисту інформації. Справа в тому, що до плану захисту, як правило, включається такий захід, як підвищення кваліфікації фахівців у галузі захисту інформації в компанії. Для фахівців інших служб можуть проводитись семінари з основ організації захисту інформації. Потрібно правильно оцінювати реальну кваліфікацію співробітників, які виконують план захисту. Найчастіше неправильні висновки чи невміння застосовувати методи захисту практично призводять до складнощів при реалізації рекомендованих заходів. При натяку на такі обставини найправильнішим виходом буде підвищення кваліфікації фахівців із захисту інформації у спеціально створених для цього центрах навчання.

Таким чином, практична діяльність у сфері підвищення економічної та інформаційної безпеки наочно демонструє, що створення реально діючої системи захисту інформації виявляється у сильній залежності від своєчасного вирішення цих проблем. Однак накопичений досвід показує, що всі розглянуті питання успішно вирішуються за умови щільної спільної роботипредставників замовника та компанії-виконавця. Головне – усвідомити важливість проведення таких робіт, своєчасно виявити існуючі загрози та застосувати адекватні заходи протидії, які зазвичай специфічні для кожного конкретного підприємства. Наявність бажання та можливостей є достатньою умовою для плідної роботи, метою якої стало б створення комплексної системи забезпечення безпеки організації.

ПРАВОВІ ПРОБЛЕМИ ВИКОРИСТАННЯ КОМП'ЮТЕРНИХ ТЕХНОЛОГІЙ І ВДОСКОНАЛЕННЯ ЗАКОНОДАВСТВА

ВДОСКОНАЛЕННЯ ІНСТИТУЦІОНАЛЬНОГО МЕХАНІЗМУ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ РФ

IMPROVING THE INSTITUTIONAL MECHANISM FOR ENSURING THE INFORMATION SECURITY OF THE RUSSIAN FEDERATION

© Коблова Юлія Олександрівна

Yuliya A. Koblova

кандидат економічних наук, доцент кафедри інституційної економіки та економічної безпеки; Саратовський соціально-економічний інститут (філія) ФДБОУ ВПО «РЕУ ім. Г.В. Плеханова»

Cand.Sc. (Economics), Associated profesor at the department of institutional economics, Saratov socio-economic institute (branch) of Plekhanov Російська University of Economics

e-mail: [email protected]

У статті досліджуються інституційні аспекти забезпечення інформаційної безпеки держави. Розкрито сутність та роль інституційного механізму у забезпеченні інформаційної безпеки держави. Дана оцінка інституційного забезпечення інформаційної безпеки в Росії. Виділено проблеми та запропоновано систему заходів щодо вдосконалення інституційного механізму забезпечення інформаційної безпеки країни.

Ключові слова: інститути, інституційний механізм, інформаційна безпека, інтернет-простір.

Педагог, що вивчають національні аспекти натхнення інформації безпеки в державі. Власними ознаками є принципи і роль інституту безпеки в забезпеченні інформації безпеки, вивчається інститут медичного захисту інформації в Росії, високі світла важливих повідомлень, і досліджують систему дій до захисту інституту захисту інформації безпеки.

Keywords: institutions, institutional mechanisms, information security, internet space.

Забезпечення інформаційної безпеки держави - це досить нова державна функція з обсягом і змістом методів та інструментів, що ще не встановилися.

ментів. Її формування обумовлено необхідністю захисту суспільства і держави від інформаційних загроз, пов'язаних з розвитком новітніх інформаційно-комунікаційних систем.

нних технологій. Масштаби негативних наслідків цих загроз для держав, організацій, людей вже усвідомлені світовою спільнотою, тому найважливішим завданням держави є розробка системи заходів щодо їх запобігання та нейтралізації. Немаловажну роль у досягненні інформаційної безпеки держави відіграє інституційний механізм її забезпечення. Ефективність інституційної системи, що реалізує суспільні інтереси, є запорукою їхньої гармонізації з метою забезпечення вищих державних інтересів, у тому числі національної та інформаційної безпеки.

Нагадаємо, що інститути - це породжені людською свідомістю та досвідом правила взаємодій («правила гри») у суспільстві, обмеження та передумови розвитку у політиці, соціальній сфері та економіці. Інститутами, що підтримують довгострокове економічне зростання, є закони та правила, що формують спонукальні мотиви та механізми. Інститути задають систему позитивних та негативних стимулів, знижують невизначеність і роблять соціальне середовище більш передбачуваним. Інститути, що гарантують інформаційну безпеку, відомі: верховенство закону, незалежний та компетентний суд, відсутність корупції та ін.

Інституційний механізм забезпечення інформаційної безпеки є особливою структурною складовою господарського механізму, що забезпечує створення норм і правил, що регулюють взаємодію різних економічних суб'єктів в інформаційній сфері щодо запобігання загроз інформаційній безпеці. Інституційний механізм приводить у дію інститути (формальні та неформальні), структурує взаємодії суб'єктів, здійснює контроль за дотриманням встановлених норм і правил.

Сутність інституційного механізму проявляється через його функції. О.В. Іншаков та Н.М. Лебедєва вважають, що інституційний механізм виконує наступні функції, які застосовуються і до механізму забезпечення інформаційної безпеки:

1) інтеграція агентів до одного інституту з метою здійснення спільної діяльності в рамках загальних статусів та норм;

2) диференціювання норм і статусів, а також суб'єктів та агентів різних інститутів на розділяючі та ігнорують їх вимоги; регламентація взаємодії інститу-

та та його агентів відповідно до встановлених вимог;

3) здійснення переведення нових вимог у реальну практику;

4) забезпечення відтворення рутинних інновацій;

5) субординація та координація відносин між суб'єктами, що належать до різних інститутів;

6) інформування суб'єктів про нові норми та про опортуністичну поведінку;

7) регулювання діяльності суб'єктів, що поділяють та відкидають вимоги, визначені інститутом;

8) контроль за виконанням норм, правил та угод.

Таким чином, інституційний механізм забезпечення інформаційної безпеки включає законодавчу основу та інституційні структури, що її забезпечують. Удосконалення даного механізму включає реорганізацію законодавчої основи інформаційної безпеки та інституційних структур протидії загрозам інформаційної безпеки.

До інституційного механізму забезпечення інформаційної безпеки входить: прийняття нових законів, які б враховували інтереси всіх суб'єктів інформаційної сфери; дотримання балансу творчої та обмежувальної функції законів в інформаційній сфері; інтеграція Росії у світовий правовий простір; врахування стану сфери вітчизняних інформаційних технологій.

На цей час у Росії сформована законодавча база у сфері інформаційної безпеки, куди входять:

1. Закони Російської Федерації: Конституція РФ, "Про безпеку"; «Про органи Федеральної служби безпеки в Російській Федерації», «Про державну таємницю», «Про зовнішню розвідку», «Про участь у міжнародному інформаційному обміні», «Про інформацію, інформаційних технологійта про захист інформації», «Про електронно-цифровий підпис» та ін.

2. Нормативно-правові акти Президента Російської Федерації: Доктрина інформаційної безпеки РФ; Стратегія національної безпекиРосійської Федерації до 2020 року, "Про основи державної політики у сфері інформатизації", "Про перелік відомостей, віднесених до державної таємниці" та ін.

3. Нормативні правові акти Уряду Російської Федерації: «Про сертифікацію

засобів захисту інформації», «Про ліцензування діяльності підприємств, установ та організацій щодо проведення робіт, пов'язаних з використанням відомостей, що становлять державну таємницю, створення засобів захисту інформації, а також здійснення заходів та (або) надання послуг із захисту державної таємниці», «Про ліцензування окремих видів діяльності» та ін.

4. Цивільний кодекс РФ (частина четверта).

5. Кримінальний кодекс Російської Федерації.

За останні роки в Росії реалізовано

комплекс заходів щодо вдосконалення забезпечення її інформаційної безпеки. Реалізовано заходи щодо забезпечення інформаційної безпеки у федеральних органах державної влади, органах державної влади суб'єктів РФ, на підприємствах, в установах та організаціях незалежно від форми власності. Ведуться роботи із захисту спеціальних інформаційно-телекомунікаційних систем. Ефективного вирішення проблем інформаційної безпеки РФ сприяють державна система захисту інформації, система захисту державної таємниці та системи сертифікації засобів захисту інформації.

Державна технічна комісія при Президентові РФ проводить єдину технічну політику і координує роботи у сфері захисту інформації, стоїть на чолі державної системи захисту інформації від технічних розвідок і забезпечує захист інформації від витоку технічних каналів біля Росії, відстежує ефективність заходів захисту.

Важливу роль системі інформаційної безпеки країни відіграють державні та громадські організації: вони здійснюють контроль за державними та недержавними засобами масової інформації.

Разом про те рівень інформаційної безпеки Росії над повною мірою відповідає потребам нашого суспільства та держави. В умовах інформаційного суспільства загострюються протиріччя між суспільною потребою у розширенні та свободі обміну інформацією, з одного боку, та необхідністю зберегти окремі регламентовані обмеження на її поширення.

В даний час відсутнє інституційне забезпечення закріплених у Конституції РФ прав громадян в інформаційній сфері (на недоторканність приватного життя, особисту таємницю, таємницю листування та ін.). Залишити-

ляє бажати кращого захиступерсональних даних, що збираються федеральними органами влади.

Відсутня чіткість проведення політики держави у сфері формування інформаційного простору РФ, засобів масової інформації, міжнародного інформаційного обміну та інтеграції Росії у світовий інформаційний простір.

Удосконалення інституційного механізму інформаційної безпеки держави, на наш погляд, має бути спрямоване на вирішення таких важливих проблем.

Слабка практична спрямованість сучасного українського законодавства в інформаційній сфері створює проблеми правового та методологічного характеру. Висловлюються думки, що Доктрина інформаційної безпеки РФ немає прикладного значення, містить безліч неточностей і методологічних помилок. Так, об'єктами інформаційної безпеки у Доктрині визнаються інтереси, особистість, суспільство, держава – поняття, які не можна порівняти між собою. Багато вчених звертали увагу на неприпустимість прийняття як об'єкт інформаційної безпеки захисту інтересів, а не їх носіїв.

Застосування цих категорій, зміст яких є невизначеним, у законодавчому документі не зовсім недоречне. Наприклад, суб'єкти права - це юридичні та фізичні особи, організації, особи без громадянства, виконавчі органи влади Категорія «держава» включає територію країни, її населення (нації), політичну владу, конституційний лад.

У Доктрині інформаційної безпеки РФ джерелами загроз інформаційній безпеці визнається:

діяльність іноземних структур;

Розробка концепцій інформаційних воєнрядом держав;

Прагнення низки країн до домінування та інших.

На думку Г. Атаманова, джерелом може бути об'єкт або суб'єкт, який бере участь у інформаційному процесіабо здатний вплинути на нього тією чи іншою мірою. Наприклад, в американському законодавстві джерела погроз інформаційної інфраструктури включають: хакерів, налаштованих проти США; терористичні групи; держави, проти яких може бути спрямована антитерористична операція;

хакерів, що цікавлять або самостверджуються.

Недоліки та рамковий характер Доктрини знижують ефективність та обмежують сферу її застосування, задають невірний напрямок розвитку законодавства в інформаційній сфері та все більше заплутують його.

Для належного забезпечення інформаційної безпеки необхідне створення відповідної системи правових відносин, що, своєю чергою, неможливе без перегляду категоріального апарату, доктринального та концептуального фундаменту законодавства в інформаційній сфері.

2. Розрив між законодавством та практикою в інформаційній сфері.

Величезна прірва між законодавством та практикою в інформаційній сфері об'єктивно існує через стрімкість та масштабність розвитку інформаційних технологій та Інтернету, що миттєво породжують нові загрози. Законодавчий процес, навпаки, довгий та тернистий. Тому в сучасних умовах необхідні механізми, що дозволяють узгодити розробку законів із реаліями розвитку інформаційних технологій та інформаційного суспільства. Важливо, щоб відставання не було занадто великим, оскільки це може спричинити зниження або втрату інформаційної безпеки.

Подолання розриву між практикою та законодавством в інформаційній сфері необхідне зниження та нейтралізації загроз інформаційній безпеці, що виникають через випередження розвитку інформаційних технологій та виникнення вакууму в законодавстві.

3. Відсутність наднаціональних інституцій, які гарантують інформаційну безпеку.

Неможливо протистояти злочинам, які вчиняються в Інтернеті, силами однієї країни. Заборонні заходи на національному рівні не будуть дієвими, оскільки порушники можуть перебувати за кордоном. Для боротьби з ними необхідна консолідація зусиль на міжнародному рівні та ухвалення міжнародних правил поведінки в інтернет-просторі. Такі спроби робилися. Так, Будапештська конвенція Ради Європи допускала переслідування порушників на території іншої держави без запобігання її владі. Саме тому багато країн вважають неприйнятним ратифікувати цей документ.

Модельний закон «Про основи регулювання Інтернету», схвалений на пленарному

засіданні Міжпарламентської Асамблеї держав - учасниць СНД, встановлює порядок державної підтримки та регулювання Інтернету, а також правила визначення місця та часу вчинення юридично значимих дій у мережі. Крім того, у законі регламентується діяльність та відповідальність операторів послуг.

Необхідно відзначити і ратифікацію документа, що дозволяє обмін конфіденційною інформацією на території Росії, Білорусі та Казахстану. Йдеться про протокол, який визначає порядок надання відомостей, що містять конфіденційну інформацію, для розслідувань, що передують запровадженню спеціальних захисних, антидемпінгових та компенсаційних заходів стосовно третіх країн. Це дуже важлива угода держав - учасниць Митного союзу, яка дозволяє спільно виробити та відбудувати захисні антидемпінгові та компенсаційні заходи. Таким чином, на сьогоднішній день організовано міцну нормативну базу, яка створює принципово новий наднаціональний орган, уповноважений не лише проводити розслідування, збирати доказову базу, а й захищати її від витоків, визначаючи порядок надання.

Формування наднаціональних інституцій в інформаційній сфері дозволить подолати обмеженість національних законодавств у боротьбі з інформаційними злочинами.

4. Відсутність інституцій інтернет-простору.

Нині у міжнародному праві мають з'явитися такі нові інститути, що регулюють взаємодію суб'єктів в інтернет-просторі, як «електронний кордон», «електронний суверенітет», «електронне оподаткування» та інші. Це сприятиме подолання латентного характеру кіберзлочинності, тобто. збільшення розкриття кіберзлочинів.

5. Розвиток приватно-державного партнерства у сфері.

У зв'язку із прагненням урядових організацій публікувати звіти про стан своєї системи інформаційної безпеки виникає цікава дилема. З одного боку, ці публікації відображають зусилля держави щодо підтримки системи кібербезпеки на належній висоті. Здавалося б, такий результат має вести до більш ефективної структури витрат на кібербезпеку. Але, з іншого боку, публікація інформації про недоліки системи кібер-

Науково-практичний журнал. ISSN 1995-5731

Безпеки державних організацій з більшою ймовірністю робить їх уразливими для атак хакерів, що тягне за собою потребу у більшій кількості ресурсів для їх відображення та запобігання.

Найбільшою проблемою у забезпеченні співробітництва та обміну інформацією, пов'язаною з безпекою, між державними агентствами та корпораціями Гордон і Лоеб вважають проблему «безквитків» (//те-ет). Здавалося б, оскільки безпека комп'ютерних мереж залежить від дій кожного учасника, така співпраця є оптимальним способом збільшити ефективність засобів, що витрачаються на забезпечення кібербезпеки. Успішний обмін інформацією та досвідом у галузі кібербезпеки міг би дати можливість координувати таку діяльність на національному та міжнародному рівнях. Але насправді страх фірми втратити конкурентні переваги, беручи участь у подібному мережевому співробітництві і надаючи повну інформацію про себе, приводить до скло-

нію від надання повної інформації. Змінити ситуацію тут може лише розвиток державно-приватного партнерства на основі запровадження значних економічних стимулів.

Таким чином, інституційний механізм забезпечення інформаційної безпеки держави передбачає формування законодавчих засад та інституційних структур, що її забезпечують. Для вдосконалення інституційного механізму та формування нової архітектури економічної безпеки в умовах інформаційної економіки запропоновано систему заходів, що включає: подолання декларативного характеру законодавства та скорочення розриву між законодавством та практикою в інформаційній сфері, формування наднаціонального законодавства в інформаційній сфері, створення нових інститутів, що визначають рамки взаємодії та правил поведінки у інтернет-просторі.

Бібліографічний список (References)

1. Іншаков О.В., Лебедєва Н.М. Господарський та інституційний механізми: співвідношення та взаємодія в умовах соціально-ринкової трансформації російської економіки // Вісник С.-Петерб. держ. унту. Сер. 5. 2008. Вип. 4 (№ 16).

2. Дзлієв М.І., Романович А.Л., Урсул А.Д. Проблеми безпеки: теоретико-методологічні аспекти. М., 2001.

3. Атаманов Г. А. Інформаційна безпека в сучасному російському суспільстві(Соціально-філософський аспект): дис. ... канд. філос. наук. Волгоград, 2006.

4. Кононов А. А., Смолян Г. Л. Інформаційне суспільство: суспільство тотального ризику чи суспільство гарантованої безпеки? // Інформаційне суспільство. 2002. № 1.

1. Inshakov O.V., Lebedeva N.N. (2008) Хозяйственный и institutsional"nyй механі-ми: соотношение і взаімодействіе в usloviyahh соціал"но-rynochnoy transformatsii rossiyskoy ekonomiky // Вестник С.-Петерб. gos. un-ta. Ser. 5. Вип. 4 (№ 16).

2. Джлієв М.І., Романович А.Л., Урсуль А.Д. (2001) Проблеми безпеки: теоретико-методологічні аспекти. M.

3. Атаманов Г.А. (2006) Інформаційна безпека" в современном російському об-ществе (соціальний"но-філософскій аспект). Волгоград.

4. Кононов А.А., Smolyan G.L. (2002) В-форматционное общество: общество total"ного riska або obshchestvo garantіonnoj bezopasnosti? // Informat-sionnoe obshchestvo. № 1.

Мета та завдання, об'єкт та предмет дослідження

Основи поняття та зміст діяльності із забезпечення національної безпеки РФ

Нормативно-правова база забезпечення громадської безпеки Російської Федерації

Стратегія національної безпеки Російської Федерації та завдання правоохоронних органів

Проблеми Федерального закону РФ "Про безпеку" № 390-ФЗ

Шляхи вдосконалення законодавчої бази громадської безпеки

Визначення економічної безпеки

Структура системи економічної безпеки Російської Федерації

Загрози економічної безпеки

Критеріальна оцінка рівня економічної безпеки в країні передбачає облік, визначення та аналіз наступних параметрів

Основні складові механізму забезпечення економічної безпеки держави та її регіонів

Пропозиції та рекомендації щодо оптимізації стратегії національної безпеки РФ за допомогою використання ефективної системи економії

Основні напрямки реалізації державної стратегії забезпечення економічної безпеки на регіональному рівні

Надіслати свою гарну роботу до бази знань просто. Використовуйте форму нижче

Студенти, аспіранти, молоді вчені, які використовують базу знань у своєму навчанні та роботі, будуть вам дуже вдячні.

Розміщено на http://www.allbest.ru/

КУРСОВИЙ ПРОЕКТ

З дисципліни «Інформаційна безпека»

На тему

«Удосконалення системи інформаційної безпеки на

підприємстві ТОВ «Овен»

Вступ

Говорячи про інформаційну безпеку, нині мають на увазі, власне, безпеку комп'ютерну. Дійсно, інформація, що знаходиться на електронних носіях, відіграє все більшу роль у житті сучасного суспільства. Вразливість такої інформації обумовлена ​​цілою низкою факторів: величезні обсяги, багатоточковість та можлива анонімність доступу, можливість "інформаційних диверсій"... Все це робить завдання забезпечення захищеності інформації, розміщеної в комп'ютерному середовищінабагато складнішою проблемою, ніж, скажімо, збереження таємниці традиційного поштового листування.

Якщо говорити про безпеку інформації, що зберігається на традиційних носіях (папір, фотовідбитки тощо), то її збереження досягається дотриманням заходів фізичного захисту (тобто захисту від несанкціонованого проникнення до зони зберігання носіїв). Інші аспекти захисту такої інформації пов'язані зі стихійними лихами та техногенними катастрофами. Таким чином, поняття "комп'ютерної" інформаційної безпеки загалом є ширшим у порівнянні з інформаційною безпекою щодо "традиційних" носіїв.

Якщо говорити про відмінності у підходах до вирішення проблеми інформаційної безпеки на різних рівнях (державному, регіональному, рівні однієї організації), то таких відмінностей просто не існує. Підхід до забезпечення безпеки Державної автоматизованої системи "Вибори" не відрізняється від підходу до забезпечення безпеки локальної мережіу маленькій фірмі. Тому принципи забезпечення інформаційної безпеки у цій роботі розглядаються на прикладах діяльності окремої організації.

Метою курсового проекту є вдосконалення системи інформаційної безпеки ТОВ Овен. Завданнями курсової роботибудуть - аналіз ТОВ «Овен», його ресурсів, структури та існуючої системи інформаційної безпеки на підприємстві та пошук методів щодо її поліпшення.

На першому етапі проводитиметься аналіз системи захисту інформації. З отриманих результатів на другому етапі буде проводитися пошук методів поліпшення захисту інформації, якщо існуватимуть слабкі сторони в даній системі.

1. Аналіз системи інформаційної безпеки на ТОВ «Овен»

1.1. Характеристика підприємства. Організаційно-штатна структура підприємства. Служба, що займається інформаційними ресурсами та їх захистом

Повна фірмова назва підприємства – Товариство з обмеженою відповідальністю «Овен». Скорочене найменування Товариства – ТОВ «Овен». Далі за текстом Суспільство. Суспільство не має філій та представництв, єдиний його центр розташований у Пермському краї, Суксунському районі, д. Мартьянове.

Суспільство було створено у 1990 році як невелике фермерське господарство та мало трьох засновників. Після реорганізації фермерського господарства у селянське господарство 1998 року залишився єдиний засновник. Востаннє реорганізація була у квітні 2004 року. З 1 квітня підприємство почало іменуватися товариством з обмеженою відповідальністю «Овен».

Основний напрямок діяльності товариства – вирощування сільськогосподарської продукції, насіннєвого матеріалу, реалізація сільгосп продукції. Сьогодні в Росії суспільство посідає тринадцяте місце серед картоплярських господарств та перше у Пермському краї.

Юридична адреса: Росія, 617553, Пермський край, Суксунський, д. Мартьянове.

Цілі підприємства в цілому:

· Отримання прибутку основної діяльності.

· Підвищення конкурентоспроможності продукції та розширення ринків збуту.

· Концентрація капіталу та нарощування інвестиційних ресурсів для реалізації інвестиційних та інших проектів.

Місія підприємства товариства:

1. Продовжувати займати лідируючі позиції над ринком.

2. Створення насінницького господарства.

Організаційна структура підприємства.

На підприємстві використовується лінійно-функціональна структура. У лінійно-функціональній структурі формується ієрархія служб. У цій структурі керівники функціональних підрозділів мають право віддавати розпорядження на наступний рівень управління з функціональних питань.

Структура підприємства представлена ​​малюнку 1.

Розміщено на http://www.allbest.ru/

Розміщено на http://www.allbest.ru/

Рисунок 1 – Організаційна структура ТОВ «Овен»

1.2 Аналіз та характеристика інформаційних ресурсів підприємства

Сьогодні всі стурбовані безпекою корпоративної інформації. Все більшої популярності набувають окремі програми та цілі комплекси, призначені для захисту даних. Однак ніхто не замислюється над тим, що можна мати скільки завгодно надійний захист, але все одно втратити важливу інформацію. Тому що хтось із ваших співробітників визнає її незначною і виставить на загальний огляд. І якщо ви впевнені, що захищені від цього, то дуже помиляєтесь. На перший погляд, подібна ситуація виглядає чимось нереальним, схожим на анекдот. Однак таке справді трапляється, причому трапляється часто. І справді, технічний персонал, який у переважній більшості випадків і займається проблемами безпеки інформації, не завжди розуміє, які дані треба ховати, а які ні. Для того, щоб зрозуміти потрібно розбити всю інформацію на різні типи, які прийнято називати типами, і чітко визначити межі між ними.

Власне кажучи, всі компанії, що спеціалізуються на постачанні комплексних систем забезпечення безпеки комп'ютерної інформації, враховують поділ даних щодо різним типам. Ось тільки тут треба бути обережним. Справа в тому, що західні продукти дотримуються міжнародних стандартів (зокрема, ISO 17799 та деяких інших). Відповідно до них усі дані діляться за трьома типами: відкриті, конфіденційні та суворо конфіденційні. Тим часом у нашій країні згідно з чинним законодавством використовується дещо інше розмежування: відкрита інформація, для внутрішнього використання та конфіденційна.

Під відкритою мається на увазі будь-яка інформація, яка може вільно передаватися іншим особам, а також розміщуватись у засобах масової інформації. Найчастіше вона представляється у вигляді прес-релізів, виступів на конференціях, презентаціях та виставках, окремих (природно, позитивних) елементів статистики. Крім цього, до цього грифу відносяться всі дані, отримані з відкритих зовнішніх джерел. Ну і, звичайно, інформація, призначена для корпоративного сайту, теж вважається публічною.

На перший погляд здається, що відкрита інформація не потребує захисту. Однак люди забувають, що дані можна не лише викрасти, а й підмінити. А тому збереження цілісності відкритої інформації – дуже важливе завдання. Інакше замість заздалегідь підготовленого прес-релізу може вийти незрозуміло що. Або Головна сторінкакорпоративного сайту буде підмінено образливими написами. Тож відкрита інформація теж потребує захисту.

Як і будь-яке інше підприємство, суспільство має відкриту інформацію, що міститься в основному в презентаціях, що демонструються можливим інвесторам.

До інформації для внутрішнього використання належать будь-які дані, які використовуються співробітниками для здійснення своїх професійних обов'язків. Але це ще не все. До цієї категорії належить вся інформація, якою обмінюються між собою різні підрозділи чи філії задля забезпечення своєї працездатності. І, нарешті, останній тип даних, які під цю категорію даних, - інформація, отримана з відкритих джерел і піддана обробці (структурування, редагування, внесення пояснень).

Фактично вся ця інформація, навіть потрапивши до рук конкурентів чи зловмисників, не може завдати серйозної шкоди компанії. Однак деяка шкода від її викрадення все-таки може бути. Припустимо, співробітники зібрали для свого начальника новини з теми, що його цікавить, серед яких вибрали найважливіші повідомлення і позначили їх. Такий дайджест явно є інформацією для внутрішнього використання (інформація отримана з відкритих джерел та оброблена). На перший погляд здається, що конкуренти, отримавши його, не зможуть отримати користь. Але насправді вони можуть здогадатися, який напрямок діяльності цікавить керівництво вашої компанії, і, хто знає, можливо, їм навіть вдасться випередити вас. А тому інформація для внутрішнього використання має бути захищена не лише від заміни, а й від несанкціонованого доступу. Щоправда, у переважній більшості випадків можна обмежитися безпекою локальної мережі, тому що витрачати великі суми на це економічно невигідно.

На підприємстві представлений і цей вид інформації, що міститься у різноманітних звітах, списках, виписках тощо.

Конфіденційна інформація - документована інформація, доступ до якої обмежується відповідно до законодавства Російської Федерації, яка не є загальнодоступною і в разі розголошення здатна завдати шкоди правам та охоронюваним законом інтересам особи, що її надала. Перелік даних, що належать до цього грифу, встановлюється державою. На даний момент він такий: персональна інформація, інформація, що становить комерційну, службову або професійну таємницю, відомості, що є таємницею слідства та діловодства. Крім того, останнім часом до конфіденційних стали відносити дані про сутність винаходу або наукового відкриття до їхнього офіційного опублікування.

До конфіденційної інформації для підприємства можна віднести такі дані як: план розвитку, науково-дослідні роботи, технічна документація, креслення, розподіл прибутку, договору, звіти, ресурси, партнери, переговори, контракти, і навіть інформація управлінського і планового характеру.

На підприємстві є близько двадцяти ПК. Що ж до наявності локальної мережі для підприємства, то ПК у суспільстві не об'єднані в єдину мережу. Крім того, всі комп'ютери оснащені стандартним набором офісних програмта бухгалтерських програм. Три комп'ютери мають вихід до Інтернету через Мініпорт WAN. При цьому жоден комп'ютер на підприємстві не має антивірусної програми. Обмін інформацією здійснюється у вигляді носіїв: флешок, дискет. Вся інформація на «традиційних» носіях розташована в шафах, які не замикаються. Найбільш важливі документи розміщуються в сейфі, ключі від якого зберігаються у секретаря.

інформація захист безпека

1.3 Загрози та засоби захисту інформації на підприємстві

Загроза безпеці інформації - сукупність умов та факторів, що створюють потенційну або реально існуючу небезпеку, пов'язану з витоком інформації та/або несанкціонованими та/або ненавмисними впливами на неї.

За способами на об'єкти інформаційної безпеки загрози, актуальні суспільству, підлягають наступної класифікації: інформаційні, програмні, фізичні, організаційно-правові.

До інформаційних загроз належать:

· Несанкціонований доступ до інформаційних ресурсів;

· Розкрадання інформації з архівів та баз даних;

· Порушення технології обробки інформації;

· протизаконний збір та використання інформації;

До програмних загроз належать:

· комп'ютерні вірусита шкідливі програми;

До фізичних загроз належать:

· Знищення або руйнування засобів обробки інформації та зв'язку;

· Розкрадання носіїв інформації;

· Вплив на персонал;

До організаційно-правових загроз належать:

· Закупівлі недосконалих або застарілих інформаційних технологій та засобів інформатизації;

Засоби захисту інформації - це сукупність інженерно-технічних, електричних, електронних, оптичних та інших пристроїв та пристроїв, приладів та технічних систем, а також інших речових елементів, що використовуються для вирішення різних завдань щодо захисту інформації, у тому числі попередження витоку та забезпечення безпеки інформації, що захищається.

Розглянемо засоби захисту інформації, що застосовуються для підприємства. Усього їх є чотири (апаратні, програмні, змішані, організаційні).

Апаратні засоби захисту- Замки, решітки на вікнах, захисна сигналізація, мережеві фільтри, камери відеоспостереження.

Програмні засоби захисту: використовуються засоби операційної системи, такі як захист, паролем, облікові записи.

Організаційні засоби захисту: підготовка приміщень із комп'ютерами.

2 Удосконалення системи інформаційної безпеки

2.1 Виявлені недоліки у системі захисту інформації

Найуразливішим місцем захисту інформації в суспільстві є захист комп'ютерної безпеки. У ході навіть поверхового аналізу на підприємстві можна виділити такі недоліки:

§ Рідко проводиться резервне копіювання інформації;

§ Недостатній рівень програмних засобівзахисту інформації;

§ Деякі співробітники мають недостатню навичку володіння ПК;

§ Не ведеться контроль за співробітниками. Часто працівники можуть піти з місця роботи, не відключивши свій ПК та маючи при собі флеш-носій зі службовою інформацією.

§ Відсутність нормативних документів з інформаційної безпеки.

§ Не на всіх комп'ютерах використовуються засоби ОС, такі як паролі та облікові записи.

2.2 Цілі та завдання формування системи ІБ на підприємстві

Головною метою системи інформаційної безпеки є забезпечення сталого функціонування об'єкта, запобігання загрозам його безпеці, захист законних інтересів підприємства від протиправних посягань, недопущення розкрадання фінансових засобів, розголошення, втрати, витоку, спотворення та знищення службової інформації, забезпечення нормальної виробничої діяльності всіх підрозділів об'єкта. Іншою метою системи інформаційної безпеки є підвищення якості послуг та гарантій безпеки майнових прав та інтересів.

Завдання формування системи інформаційної безпеки в організації: цілісність інформації, достовірність інформації та її конфіденційність. За виконання поставлених завдань, мета буде реалізована.

Створення систем інформаційної безпеки (СІБ) в ІС та ІТ ґрунтується на наступних принципах:

Системний підхід до побудови системи захисту, що означає оптимальне поєднання взаємопов'язаних організаційних, програмних, апаратних, фізичних та інших властивостей, підтверджених практикою створення вітчизняних та зарубіжних систем захисту та застосовуваних на всіх етапах технологічного циклу обробки інформації.

Принцип безперервного розвитку. Цей принцип, що є одним із основоположних для комп'ютерних інформаційних систем, ще актуальніший для СІБ. Способи реалізації погроз інформації в ІТ безперервно вдосконалюються, а тому забезпечення безпеки ІВ не може бути одноразовим актом. Це безперервний процес, що полягає в обґрунтуванні та реалізації найбільш раціональних методів, способів та шляхів удосконалення СІБ, безперервному контролі, виявленні її вузьких та слабких місць, потенційних каналів витоку інформації та нових способів несанкціонованого доступу.

Розподіл та мінімізація повноважень щодо доступу до оброблюваної інформації та процедур обробки, тобто надання як користувачам, так і самим працівникам ІС мінімуму строго певних повноважень, достатніх для виконання ними своїх службових обов'язків.

Повнота контролю та реєстрації спроб несанкціонованого доступу, т. е. необхідність точного встановлення ідентичності кожного користувача та протоколювання його дій щодо можливого розслідування, і навіть неможливість здійснення будь-якої операції обробки інформації в ІТ без її попередньої реєстрації.

Забезпечення надійності системи захисту, тобто неможливість зниження рівня надійності у разі виникнення в системі збоїв, відмов, навмисних дій зломщика або ненавмисних помилок користувачів та обслуговуючого персоналу.

Забезпечення контролю над функціонуванням системи захисту, тобто. створення засобів та методів контролю працездатності механізмів захисту.

Забезпечення різноманітних засобів боротьби зі шкідливими програмами.

Забезпечення економічної доцільності використання системи захисту, що виявляється у перевищенні можливої ​​шкоди ІВ та ІТ від реалізації загроз над вартістю розробки та експлуатації СІБ.

2.3 Пропоновані заходи щодо покращення системи інформаційної безпеки організації

Виявлені недоліки на підприємстві потребують усунення, тому пропонується проведення наступних заходів.

§ Регулярне резервне копіювання БД з особистими даними співробітників товариства, з бухгалтерськими даними та ін баз, що є на підприємстві. Це запобігатиме втраті даних через збої дисків, відключення електроживлення, вплив вірусів та інших випадковостей. Ретельне планування та регулярне проведення процедур резервного копіюваннядозволяє при втраті даних швидко відновити їх.

§ Використання засобів ОС на кожному комп'ютері. Створення облікових записів для спеціалістів та регулярна зміна пароля для цих облікових записів.

§ Навчання персоналу підприємства роботі з комп'ютерами. Необхідна умова для правильної роботи на робочих станціях та запобігання втраті та пошкодженню інформації. Від навичок володіння ПК персоналом залежить робота всього підприємства, щодо правильності виконання.

§ Встановлення на комп'ютери антивірусних програмтаких як: Avast, NOD, Doctor Web тощо. Це дозволить уникнути зараження комп'ютерів різними шкідливими програмами, які називаються віруси. Що дуже актуально для цього підприємства, оскільки кілька ПК має доступ до Інтернету та співробітники для обміну інформацією користуються флеш-носіями.

§ Ведення контролю за співробітниками за допомогою відеокамер. Це дозволить скоротити випадки недбалого поводження з обладнанням, ризик крадіжок обладнання та їх псування, а також дозволить контролювати «винесення» службової інформації з території суспільства.

§ Розробка нормативного документа «Заходи захисту інформації в ТОВ «Овен» та відповідальність за їх порушення», який би відповідали чинному законодавству РФ та визначить ризики, порушення та відповідальність за ці порушення (штрафи, покарання). А також внесення відповідної графи до трудового договору товариства, що він ознайомлений та зобов'язується виконувати положення цього документа.

2.4 Ефективність запропонованих заходів

Запропоновані заходи несуть у собі як позитивні моменти, такі як усунення основних проблем на підприємстві, що стосуються інформаційної безпеки. Але при цьому вони вимагатимуть додаткових вкладень на навчання персоналу, розроблення нормативних документів щодо політики безпеки. Вимагатиме додаткових витрат праці та не виключать стовідсотково ризики. Завжди матиме місце людський фактор, форс-мажорні обставини. Але якщо такі заходи не вжити витрат на відновлення інформації, втрачені можливості за вартістю перевершать витрати, які потрібні для розробки системи безпеки.

Розглянемо результати запропонованих заходів:

1. Підвищення надійності системи ІБ організації;

2. Підвищення рівня володіння ПК персоналу;

3. Зменшено ризик втрати інформації;

4. Наявність нормативного документа визначального політику безпеки.

5. Можливо, зменшить ризик внесення/винесення інформації з підприємства.

3 Модель інформаційної безпеки

Представлена ​​модель інформаційної безпеки (рисунок 2) - це сукупність об'єктивних зовнішніх і внутрішніх чинників та його впливом геть стан інформаційної безпеки на об'єкті і збереження матеріальних чи інформаційних ресурсів.

Малюнок 2 - Модель системи інформаційної безпеки

Ця модель відповідає спеціальним нормативним документамщодо забезпечення інформаційної безпеки, прийнятого в Російській Федерації, міжнародного стандарту ISO/IEC 15408 "Інформаційна технологія - методи захисту - критерії оцінки інформаційної безпеки", стандарту ISO/IEC 17799 "Управління інформаційною безпекою", та враховує тенденції розвитку вітчизняної нормативної бази (зокрема , Держтехкомісії РФ) з питань інформаційної безпеки.

Висновки та пропозиції

Інформаційна ера призвела до драматичних змін у способі виконання своїх обов'язків для великої кількості професій. Тепер нетехнічний фахівець середнього рівня може виконувати роботу, яку раніше виконував висококваліфікований програміст. Службовець має у своєму розпорядженні стільки точної та оперативної інформації, скільки ніколи не мав.

Але використання комп'ютерів та автоматизованих технологій призводить до появи низки проблем для керівництва організацією. Комп'ютери, часто об'єднані в мережі, можуть надавати доступ до колосальної кількості найрізноманітніших даних. Тому люди турбуються про безпеку інформації та наявність ризиків, пов'язаних з автоматизацією та наданням значно більшого доступу до конфіденційних, персональних чи інших критичних даних. Все збільшується кількість комп'ютерних злочинів, що може призвести, зрештою, до підриву економіки. І тому має бути зрозумілим, що інформація - це ресурс, який треба захищати.

І оскільки автоматизація призвела до того, що тепер операції з обчислювальною технікою виконуються простими службовцями організації, а не спеціально підготовленим технічним персоналом, потрібно, щоб кінцеві користувачізнали про свою відповідальність за захист інформації.

Єдиного рецепта, що забезпечує 100% гарантії збереження даних та надійної роботи мережі не існує. Однак створення комплексної, продуманої концепції безпеки, що враховує специфіку завдань конкретної організації, допоможе звести ризик втрати найціннішої інформації до мінімуму. Комп'ютерний захист – це постійна боротьба з дурістю користувачів та інтелектом хакерів.

Насамкінець хочеться сказати про те, що захист інформації не обмежується технічними методами. Проблема значно ширша. Основний недолік захисту - люди, і тому надійність системи безпеки залежить переважно від ставлення до неї службовців компанії. Крім цього, захист має постійно вдосконалюватись разом із розвитком комп'ютерної мережі. Не слід забувати, що заважає роботі не система безпеки, а її відсутність.

Також хотілося б, підбиваючи підсумки даного курсового проекту, відзначити, що, проаналізувавши систему ІБ підприємства «Овен» було виявлено п'ять недоліків. Після пошуку було знайдено рішення щодо їх усунення, ці недоліки можуть бути виправлені, що покращить ІБ підприємства в цілому.

У ході вищеописаних дій, відпрацьовувалися практичні та теоретичні навички вивчення системи ІБ, отже, мети курсового проекту досягнуто. Завдяки знайденим рішенням можна сказати, що всі завдання проекту були виконані.

Список літератури

1. ГОСТ 7.1-2003. Бібліографічний запис. Бібліографічне опис. Загальні вимоги та правила складання (М.: Вид-во стандартів, 2004).

2. Галатенко, В.А. "Основи інформаційної безпеки". - М: «Інтуїт», 2003.

3. Завгородній, В. І. «Комплексний захист інформації в комп'ютерні системи». - М: «Логос», 2001.

4. Зегжда, Д.П., Івашко, А.М. "Основи безпеки інформаційних систем".

5. Носов, В.А. Вступний курс з дисципліни "Інформаційна безпека".

6. Федеральний законРосійської Федерації від 27 липня 2006 р. N 149-ФЗ «Про інформацію, інформаційні технології та захист інформації»

Розміщено на Allbest.ru

Подібні документи

Характеристика інформаційних ресурсів агрохолдингу "Ашатлі". Загрози інформаційної безпеки, характерні підприємствам. Заходи, методи та засоби захисту інформації. Аналіз недоліків існуючої та переваги оновленої системи безпеки.

курсова робота , доданий 03.02.2011


Загальні відомостіпро діяльність підприємства Об'єкти інформаційної безпеки для підприємства. Заходи та засоби захисту інформації. Копіювання даних на змінний носій. Встановлення внутрішнього Backup-сервера. Ефективність удосконалення системи ІБ.

контрольна робота , доданий 29.08.2013


Поняття, значення та напрями інформаційної безпеки. Системний підхід до організації інформаційної безпеки; захист інформації від несанкціонованого доступу. Засоби захисту. Методи та системи інформаційної безпеки.

реферат, доданий 15.11.2011


Система формування режиму інформаційної безпеки. Завдання інформаційної безпеки суспільства. Засоби захисту інформації: основні методи та системи. Захист інформації в комп'ютерних мережах. Положення найважливіших законодавчих актів Росії.

реферат, доданий 20.01.2014


Аналіз ризиків інформаційної безпеки. Оцінка існуючих та планованих засобів захисту. Комплекс організаційних заходів забезпечення інформаційної безпеки та захисту інформації підприємства. Контрольний приклад реалізації проекту та його опис.

дипломна робота , доданий 19.12.2012


Стратегія інформаційної безпеки підприємства у вигляді системи ефективних політик, які б визначали ефективний і достатній набір вимог безпеки. Виявлення загроз інформаційній безпеці. Внутрішній контроль та управління ризиками.

курсова робота , доданий 14.06.2015


Характеристика комплексу завдань та обґрунтування необхідності вдосконалення системи забезпечення інформаційної безпеки та захисту інформації на підприємстві. Розробка проекту застосування СУБД, інформаційної безпеки та захисту персональних даних.

дипломна робота , доданий 17.11.2012


Нормативно-правові документи у сфері інформаційної безпеки у Росії. Аналіз погроз інформаційних систем. Характеристика організації системи захисту персональних даних клініки. Використання системи аутентифікації з використанням електронних ключів.

дипломна робота , доданий 31.10.2016


Передумови створення безпеки персональних даних. Загрози інформаційної безпеки. Джерела несанкціонованого доступу до ІСПДн. Влаштування інформаційних систем персональних даних. Засоби захисту. Політика безпеки.

курсова робота , доданий 07.10.2016


Завдання, структура, фізичні, програмні та апаратні заходи захисту інформаційної системи. Типи та причини комп'ютерних злочинів, шляхи удосконалення політики безпеки організації. Призначення та основні функції папки "Щоденник" MS Outlook 97.