7 ДИПЛОМ ГЛ4 (Братанова)Норм (Обеспечение экономической безопасности предприятий железнодорожной отрасли)
Описание файла
Файл "7 ДИПЛОМ ГЛ4 (Братанова)Норм" внутри архива находится в следующих папках: Обеспечение экономической безопасности предприятий железнодорожной отрасли, Bratanova A.V. Документ из архива "Обеспечение экономической безопасности предприятий железнодорожной отрасли", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "7 ДИПЛОМ ГЛ4 (Братанова)Норм"
Текст из документа "7 ДИПЛОМ ГЛ4 (Братанова)Норм"
4 Обеспечение информационной безопасности на примере Хабаровской ДМТО
4.1 Общая характеристика обеспечения информационной безопасности на предприятии
Информационная безопасность — состояние сохранности информационных ресурсов и защищенности, законных прав личности и общества в информационной сфере.
Безопасность информации предполагает отсутствие недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на ресурсы, используемые в автоматизированной системе. Критериями информационной безопасности являются целостность, доступность и конфиденциальность информации. При этом под конфиденциальностью понимается свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.
Целостность - это свойство информационных ресурсов, в том числе информации, определяющее их точность и полноту. В свою очередь доступность информации - это свойство, определяющее возможность получения и использования информации по требованию уполномоченных лиц.
Информационная безопасность предприятия направлена на защиту всех его информационных активов. Информационный актив - информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность; находящаяся в распоряжении организации и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме. Говоря об уровнях обеспечения информационной безопасности, их можно выделить три:
- законодательно-правовой;
- административный;
- программно-технический.[7]
Система информационной безопасности будет рассмотрена на примере предприятия жд отрасли- Хабаровской Дирекции материально технического обеспечения, структурного подразделения Росжелдорснаба - филиала ОАО «РЖД» (ХДМТО)
В своем составе Хабаровская ДМТО имеет следующие информационные активы:
- Бухгалтерская, финансовая отчетность;
- Кадровая отчетность, штатная расстановка;
-Информация об опасных производственных объектах(топливный склад Хабаровск2, главный Материальный склад)
- Информация о контрагентах и потребителях, клиентская база;
- Информация о предоставляемых услугах;
- Информация об используемых материально технических ресурсах.
Для исключения потери предприятием материальных средств, а так же базы данных и конфиденциальной информации, следует определить, нарушение информационной безопасности каких активов, может нанести ущерб. В таком случае актив будет считаться ценным, и он обязательно должен будет учитываться при анализе информационных рисков. [21]
В Хабаровской ДМТО к числу ценных активов относятся все активы. Чтобы определить какой ущерб понесет предприятие в случае нарушения информационной безопасности, необходимо определить критичность его активов. Оценка критичности активов выполняется по трем параметрам: конфиденциальности, целостности и доступности.
Таблица 4.1 – Определение критичности информационных активов Хабаровской ДМТО
Информационный актив | Оценка критичности активов (конфиденциальность, целостность и доступность) |
Бухгалтерская, финансовая отчетность | Конфиденциальная, целостная, частично доступная |
Кадровая отчетность, штатная расстановка | Конфиденциальная, целостная, не доступная |
Продолжение табл. 4.1
Информационный актив | Оценка критичности активов (конфиденциальность, целостность и доступность) |
Информация об опасных производственных объектах | Не конфиденциальная, целостная, доступная |
Информация о поставщиках и потребителях, клиентская база | Конфиденциальная, целостная, недоступная |
Информация о предоставляемых услугах | Не конфиденциальная, целостная, доступная |
Информация об используемых материально-технических средств | Не конфиденциальная, целостная, доступная |
Для обеспечения информационной безопасности предприятия необходимо своевременное выявление угроз и уязвимостей информационных активов предприятия. Угроза — это потенциальная возможность нарушить информационную безопасность из-за уязвимостей в защите информационных систем.
Классификация угроз:
- по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;
- по компоненту информационных систем, на который угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
- по способу осуществления угроз (случайные или преднамеренные действия природного или техногенного характера);
- расположение источника угроз (внутри или вне рассматриваемой ИС).
Идентификация уязвимостей. Составляется список потенциальных уязвимостей данной ИС и возможные результаты их реализации (источники — сетевые сканеры уязвимостей, каталоги уязвимостей разных организаций). При оценке уровня уязвимости принимаются во внимание существующие процедуры и методы обеспечения режима информационной безопасности, данные внутреннего аудита и результаты анализа имевших место инцидентов.[23]
Важнейшие процессы обеспечения комплексной работы на предприятии автоматизируются соответствующим классом систем, защищенность которых достигается целым комплексом технических и организационных мер. В их составе антивирусная система, защита межсетевого экранирования и электромагнитного излучения. Системы защищают информацию на электронных носителях, передаваемые по каналам связи данные, разграничивают доступ к разноплановым документам, создают запасные копии и восстанавливают конфиденциальную информацию после повреждений.
Полноценное обеспечение информационной безопасности на предприятии должно быть стандартизировано и находиться под полным контролем круглогодично, в реальном времени в круглосуточном режиме. При этом система учитывает весь жизненный цикл информации, начиная с момента появления и до полного её уничтожения или потери значимости для предприятия. Качественные системы информационной безопасности учитывают всевозможные объекты угроз, их источники, цели злоумышленников, способы овладения информацией, а также варианты и средства защиты. Они обеспечивают полную сохранность информационной среды, поддерживают функционирование рабочих комплексов, усовершенствуют его в интересах рабочего персонала.
Для сохранности и для предотвращения потери данных, в индустрии информационной безопасности разрабатываются системы защиты. Их работа основана на сложных программных комплексах с широким набором опций, предотвращающих любые утраты данных. Средства защиты информации могут быть: техническими; программными; криптографическими; организационными; законодательными.
Таким образом, защита информации предприятия должна занимать приоритетное место в ходе осуществления его деятельности. Обеспечение информационной безопасности – залог успеха, прибыли и достижения целей предприятия.
4.2 Система информационной безопасности Хабаровской ДМТО
В целях защиты информационных ресурсов ДВЖД в частности филиала ОАО «РЖД» Хабаровской ДМТО, от несанкционированного доступа, неправомерного их использования, создания условий, исключающих нарушение работы информационных систем и телекоммуникационных сетей дороги при работе пользователей в открытой сети Интернет было утверждено «Положение об использовании сети интернет на ДВЖД- филиале ОАО РЖД-Хабаровской ДМТО.
Согласно данному положению, доступ в сеть интернет Хабаровской ДМТО организуется через интернет узел ДВОСТ ЖД, который осуществляет фильтрацию, контроль трафика и имеет средства защиты обеспечивающих безопасность Интернет-узла и автоматизированной системы (АС) жд дороги.
Техническая поддержка и сопровождение доступа к сети Интернет осуществляется специалистами Информационно вычислительного центра. Следовательно пользователю запрещается самостоятельное изменение конфигурации.
ПЭВМ предназначенные для подключения к сети Интернет должны соответствовать следующим требованиям:
-На ПЭВМ должна отсутствовать конфиденциальная информация(коммерческая тайна, персональный данные и т.д);
- На ПЭВМ должны быть установлены операционная система Windows 2000 или выше, со всеми обновлениями; браузер Internet Explorer версии 6.0 или выше; антивирусное ПО.
В случае увольнения пользователя, либо перевода его в другое подразделение начальник подразделения, в котором работает пользователь, обязан отправить письмо в Информационно вычислительный центр о данном факте, в день увольнения или перевода сотрудника.
Контроль за доступом пользователей к сети интернет, их работой, почтовыми подразделениями осуществляет Дальневосточный Региональный центр безопасности- структурное подразделение ОАО «РЖД» ответственным за организацию работы интернет узла является начальник информационно вычислительного центра ДВОСТ.
Отдельное внимание в Хабаровской ДМТО уделяется организации парольной защиты компьютеров пользователей. Пользователь обязан самостоятельно назначать личный пароль с учетом соблюдения следующих требований:
- Минимальная длинна пароля, должна составлять 7 символов;
- Максимальный срок действия пароля 90дней;
- Минимальный срок действия пароля 7 дней.
Пароль должен содержать символы как минимум 3-х подмножеств из следующих 5:
- А-Z (буквы в верхнем регистре);
- a-z (буквы в нижнем регистре);
- 0-9 (цифры);
- +!@/$ (символы);
- ALT символы (набираются путем одновременного нажатия кнопки ALT).
Все пароли пользователей Хабаровской ДМТО, должны держаться в тайне, так же не допускается использование одинаковых паролей для различных учетных записей. Утрата или разглашение пароля, создает предпосылки каналов утечки информации.
Сотрудники Хабаровской ДМТО имеют свои права и обязанности согласно инструкции безопасной работы на ПЭВМ.
Пользователь имеет право:
- Получать доступ к имеющимся информационным ресурсам сети согласно порядку, утвержденному распоряжением Президента ОАО «РЖД» от 14.12.2004 г. №3808р (в том числе к электронной почтовой системе);
- При работе в электронной почтовой системе (далее ЭПС) ОАО «РЖД» заблаговременно получать информацию о допустимых размерах электронных писем, допустимых типах файлов вложений, размере почтового ящика, устанавливаемых и регулируемых в случае служебной необходимости администратором ЭПС;
- Обращаться в ИВЦ за справочной информацией, консультацией и, при необходимости, оформлять заявки на проведение работ по установке и настройке программного обеспечения соответствующим инженерно-техническим персоналом, обслуживающим программно-технические средства.
Пользователь обязан:
-Обладать знаниями, необходимыми для работы на персональном компьютере и в СПД автоматизированной системы (АС) дороги;
- Использовать ПЭВМ только для выполнения производственных задач;
- Соблюдать требования нормативных актов ОАО «РЖД» и дорожных организационно-распорядительных документов по информационной безопасности и защите информации, в том числе требования настоящей Инструкции;
- Соблюдать правила техники безопасности при работе со средствами вычислительной и организационной техники;
- Выполнять указания и следовать рекомендациям администраторов информационной безопасности соответствующих сегментов сети и ответственных за информационную безопасность структурного подразделения;
- Обеспечивать неразглашение идентификационных данных пользователя, используемых для доступа к информационным ресурсам локальной машины и сети (имени пользователя, паролей и прочих кодов авторизованного доступа);
- Не допускать случаев несанкционированной работы на закреплённом за Пользователем рабочем месте;
- Выполнять требования Инструкции по антивирусной профилактике для ПЭВМ, АРМ. Следить за бесперебойной работой антивирусного программного обеспечения;
-Незамедлительно извещать ответственного за информационную безопасность подразделения и администратора информационной безопасности АС обо всех случаях:
а) изменения регистрационных данных;
б) несанкционированного доступа к ПЭВМ, АРМ и информационным ресурсам;
в) заражения ПЭВМ, АРМ вирусом;
г) прочих нештатных ситуациях (неожиданного появления и удаления файлов и каталогов, нестабильной работы ПЭВМ, АРМ, других подозрительных проявлениях) и нарушениях требований настоящей Инструкции.