Клементьев ВКР (Разработка мероприятий по информационной безопасности для компании ПрофИТ), страница 3
Описание файла
Файл "Клементьев ВКР" внутри архива находится в следующих папках: Разработка мероприятий по информационной безопасности для компании ПрофИТ, Klementyev V.D. Документ из архива "Разработка мероприятий по информационной безопасности для компании ПрофИТ", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "Клементьев ВКР"
Текст 3 страницы из документа "Клементьев ВКР"
Планы мер по обеспечению защиты данных относят, как правило, к документам, с индивидуальным доступом, их учитывают и хранят обычно в службе безопасности компании, по такой схеме, какая установлена по документам такой степени защищенности.
Создание и внедрение планов по обеспечению защиты данных, как правило, осуществляется службой безопасности организации, либо, если такой службы нет, то тогда за это отвечает подходящий специалист в информационной и технической сфере. При разработке такого плана, данная служба, либо специалист должны учитывать различные рациональные предложения остальных отделов и структурных подразделений компании, как правило, для того, чтобы не усложнять работу сотрудникам и не затруднять взаимодействие с клиентами [25].
От качества организационно-планирующей документации как раз-таки и зависит продуктивность мер, направленных на то, чтобы обезопасить конфиденциальную информацию, исключить утечку данных и улучшить производительность работы в компании.
Структура и основное содержание плана мероприятий по защите конфиденциальной информации.
Самым важным документом, организационно-планирующего характера, направленного на защиту информации, является план мероприятий по защите данных на календарный год. Этот план разносторонне отражает те меры по защите данных, которые будут реализованы в течение данного календарного года, при условии параллельной каждодневной деятельности компании при проведении данных мер. Вместе с тем, при составлении данного плана учитывается и нормативно-правовая база вышестоящих органов государственной власти по этому вопросу [21].
С планом мер по защите корпоративных и частных данных в компании на календарный год, ознакомляется руководитель компании, если его план не устраивает, он указывает замечания и его уносят на доработку, а если руководитель считает данный план эффективным, то он его утверждает. Так же, если есть необходимость, план отдают на согласование соответствующему органу безопасности. Уже с утвержденным планом ознакомляется заместитель руководителя, руководители структурных подразделений и остальные должностные лица, ответственные за реализацию мер, указанных в плане.
Основные разделы, содержащиеся в плане мероприятий по защите конфиденциальной информации на календарный год.
Организаторские меры административной ячейки компании - разрабатывать организационно-планирующую документацию параллельно с каждодневной работой компании и не в ущерб эффективности работы сотрудников. Предоставлять в вышестоящую организацию или в орган государственной власти донесения или доклады о статусе защиты данных; создание и внедрение приказов руководства компании по вопросу в области защиты корпоративных и частных данных и т. п.
Проведение мероприятий с работниками по вопросам защиты данных - создание и проведение занятий с разноплановыми сотрудниками в плане должности и с учетом классификации тех работ, которые они выполняют; быть в курсе различных положений в нормативных и методических документах в сфере защиты информации и, если есть необходимость, ознакомить с данными положениями и требованиями сотрудников под расписку; проведение занятий, собеседований, с новыми сотрудниками, либо с сотрудниками получившими новую должность; меры по обучению работников в образовательных учреждениях различного типа.
Когда создается план мер по защите данных, берут в расчет всевозможные неблагоприятные ситуации, которые могут произойти в компании. Меры по защите информации, если возникает чрезвычайная ситуация, отражаются, на календарный месяц в специальном разделе плана работы компании. В таком разделе также указываются:
-
Ф.И.О., адрес прописки, либо фактического проживания и телефоны (домашний, мобильный) отдельно взятого работника, который принимает участие в устранении последствий неблагоприятных ситуаций на объектах компании;
-
порядок очередности оповещения всех работников, которые участвуют в работах по выполнению устранений последствий неблагоприятных (чрезвычайных) ситуаций;
-
обязанности каждого сотрудника предприятия и последовательность выполнения им мероприятий (работ) в соответствии с конкретным планом действий;
-
список средств и сил (в том числе транспорт, связь), которые привлекают для решения задач устранения последствий чрезвычайных ситуаций;
-
места остановок, маршрут движения транспорта, который перевозит носители частных и корпоративных данных;
-
маршруты места сброса этих самых носителей, место их установки, сосредоточения, порядок охраны носителей, силы, привлекаемые для охраны и так далее [37].
2 Анализ состояния информационной системы в компании «ПрофИТ»
2.1 Общая характеристика компании
Компания «ПрофИТ» была создана в 2012 году и начала свою деятельность с предоставления своих услуг лишь нескольким офисам.
Более чем за пять лет работы на рынке IT- аутсорсинга в городе Хабаровске она сильно выросла и видоизменилась.
«Профит» предоставляет следующие виды услуг:
-
IT-аутсорсинг – абонентское обслуживание компьютерной техники, серверов и организационной техники.
-
проектирование и монтаж кабельных сетей;
-
видеонаблюдение от проектирования, закупки и монтажа, до сопровождения и настройки оборудования, программного обеспечения и серверов;
-
IP- телефония;
-
сопровождение программ 1С;
-
создание сайта и его последующее продвижение;
В 2017 году «ПрофИТ» ввел абсолютно новую услугу – аутстафинг. Сейчас, специалист от компании может всегда быть в непосредственной близости для решения актуальных проблем. И вместе с этим, обслуживаемая организация получает все достоинства IT-аутсорсинга. «ПрофИТ» ставит цели, сопровождает и вместе с этим проверяет сотрудника. Дает ему все, что нужно для выполнения поставленных задач. При этом обслуживаемая организация по услуге аутстафинга может получить весь штат специалистов, при решении каких-либо нетипичных задач или при развертки сложных систем.
При этом компания «ПрофИТ» является партнером организаций, занимающихся поставкой и производством компьютерного оборудования, ПО и серверов, таких как «Microsoft», противовирусных «dr. Web», «Лаборатория Касперского», сетевой техникой «MicroTik» и «D-link», серверами «HP», «Lenovo», «Supermicro», техникой и ПО для видеонаблюдения «Vesta», «Macroscop», «Hikvision» и др. Компания занимается подбором, согласованием и покупкой всего требуемого оборудования для обслуживаемой организации.
Миссия компании «ПрофИТ» - предоставлять совокупное обслуживание в сфере информационных технологий. Компания занимается проектированием, закупкой, постройкой, настройкой, сопровождением и поддержкой проекта. Задача «ПрофИТ», заключается в высвобождении всех доступных ресурсов обслуживаемой организации для их основной деятельности, для этого и занимается обеспечением постоянной работы при помощи производительных, актуальных и соответствующих решений, которые принимают масштаб и потребности компании-заказчика.
За то время, что компания «Профит» занимается работой в сфере обслуживания компьютерных сетей и информационных технологий, она закрепила и придерживается нижеприведенных принципов.
Комплексный подход.
Компания «ПрофИТ» возьмет на себя все задачи, которые связаны с IT в компании-заказчике. Это минимизирует число контактов на данном предприятии и поэтому, освобождается время на какую-либо другую деятельность, так же, получаемые решения являются более согласованными и эффективными.
Персональный подход.
Компания с усердием относится к пониманию бизнес-процессов, которые происходят в компании-заказчике, для того, чтобы можно было знать, что является предельно важным и на чем сосредоточить свою работу для максимизации результативности деятельности компании-заказчика и последующую работу с ним.
Мониторинг инфраструктуры.
Компания «ПрофИТ» занимается постоянной проверкой и мониторингом всей IT инфраструктурой для существенного сокращения непредвиденных ситуаций в работе, т. к. компания предпочитает заранее предотвратить ошибку, чем незапланированно её решать
Ориентированность на будущее.
«ПрофИТ» не только обслуживает, а стабильно модернизирует и улучшает IT-инфраструктуру компании-заказчика. Ищет болезненные точки и занимается рекомендациями вариативности усовершенствования по части защиты информации, усиления эффективности техники, сокращении сбоев, ускорении быстроты обмена информацией среди служащих и в разных других вопросах. Так же, при реализации разного рода задач, компания занимается и вопросом расчетливости, т. е. результативности решений. Компания предлагает предельно легкие решения, без приобретения дополнительной техники, только в случае, если того не будет требовать поставленная задача. «ПрофИТ» усердно внедряет оптимальные решения и постоянно оценивает рациональность вложенных средств.
Оперативность.
Компания «ПрофИТ» гарантирует:
-
полностью сохранить информацию компании-заказчика, т.к. считает это обязательным фактором для работы;
-
публичность и ясность проводимых работ, для этого компания ведет журнал заявок и отражает в нем результат этих работ.
Более чем за пять лет работы, компания собрала большой опыт в сфере информационных технологий, ведь она эксплуатирует большое количество техники, ПО, собрала самые различные реализованные решения и общается с различными пользователями. Их специалисты каждодневно знакомятся с выполнением различных задач. И это дает компании быть намного результативными, скорее выполнять поставленные задачи и предугадывать возможные проблемные участки в проекте.
Компания всегда прогрессирует и совершенствуется. Постоянно увеличивает количество различных специалистов в самых разных областях информационных технологий и правильно разделяет роли между ними. Так же компания занимается и обучением сотрудников, это так же является существенной частью их работы.
Компания увеличивается и географически. На данный момент у неё есть партнеры или представители в г. Владивостоке, г. Якутске, г. Южно-Сахалинске, г. Петропавловске-Камчатском. За 2017 год, «ПрофИТ» планирует выйти на рынок в таких городах как Благовещенск и Биробиджан.
2.2 Анализ текущего состояния информационной системы в компании
Головной офис компании, имеет в своем распоряжении 20 персональных компьютеров и четыре сервера следующих типов: сервер базы данных, web-сервер, файловый сервер и почтовый сервер. Компьютеры компании объединены в одну общую сеть, построенную по типу топологии «звезда». Проведя мониторинг способов передачи информации в компании и общий анализ информационной безопасности, был выявлен ряд недостатков:
-
отсутствие контроля в серверных помещениях;
-
отсутствие контроля доступа к информации, находящейся на персональных компьютерах компании;
-
отсутствие использования защитных протоколов, при передаче данных;
-
удаленная работа осуществляется посредством общей сети;
-
в офисном помещении слабая защита от несанкционированного доступа (НСД);
-
отсутствие переговорной комнаты в головном офисе компании (важно при личной встрече с клиентами и рабочих совещаний с работниками).
Используя данные недостатки, теоретически злоумышленник может осуществить несанкционированное проникновение в сеть с целью получения информации, или ее искажения.
Но в компании имеются также и сильные стороны по обеспечению информационной безопасности. Например, вход в офисное помещение компании осуществляется с помощью идентификаторов iButton, также имеется система наружного видеонаблюдения и ряд камер на входе и в уличном помещении.
В компании используется только лицензионное программное обеспечение. Производится постоянное плановое обновление программного обеспечения и ОС. На всех персональных компьютерах установлены антивирусные программы, для предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом (вирусами). Обновление программных продуктов и антивирусных программ производится ежемесячно.
Угроза может осуществиться из-за несанкционированной установки программного обеспечения внутренними нарушителями или внешними угрозами, что может привести к нарушению конфиденциальности данных, их целостности и доступности, хоть и в компании осуществляется контроль за установкой программного обеспечения, посредством разграничения прав пользователей, никогда нельзя исключать возможность проникновения во внутреннюю сеть или банальный человеческий фактор.
Также нельзя исключать и возможности непреднамеренного нарушения безопасности или угрозы внешних факторов (сбой в электроэнергии, стихийные бедствия, сбой аппаратуры, утрата iButton идентификатора по которому осуществляется вход в офисное помещение компании и тому подобное).
В компании осуществляется плановое резервное копирование данных с месячной периодичностью. Так же все работники введены в курс того, как стоит обращаться с персональными данными. Ежемесячно проходят мероприятия по усвоению данного материала, посредством профилактической беседы или тематического теста.
Основная угроза корпоративной и частной информации заключается в способе обмена информацией при удаленной работе с клиентом. Не используются меры безопасности данных при осуществлении удаленной работы или подключения к внутренней сети.
3 Разработка мероприятий по повышению уровня ИБ в компании
Для того чтобы обезопасить конфиденциальную информацию компании «ПрофИТ» от внешних и внутренних угроз, необходимо провести следующие мероприятия по защите информации:
-
внедрение программно-аппаратного средства защиты информации;
-
использование шифрованных протоколов, для более безопасного обмена данными и защиты информации, оставляемой клиентами на сайте;
-
использование виртуальных частных сетей, при удаленной работе с конфиденциальной информацией;
-
внедрение ЭЦП в компании для подтверждения подлинности пересылаемой документации;
-
создание закрытой переговорной комнаты в головном офисе компании для проведения совещаний и личных встреч с клиентами.
3.1 Предлагаемые мероприятия по информационной безопасности
В последнее время все больше организаций сталкивается с несанкционированным доступом и внешними угрозами к своей внутренней информации в корпоративных сетях. В связи с этим необходимо их обезопасить от внешнего и внутреннего воздействия, именно поэтому и организуются мероприятия по информационной безопасности в различных организациях. Ниже изложены предлагаемые мероприятия для обеспечения информационной безопасности в компании «ПрофИТ».
Протокол SFTP.
FTP ("File Transfer Protocol" - протокол передачи файлов) - это довольно распространенный способ передачи файлов между двумя удаленными системами.
SFTP ("SSH File Transfer Protocol" или "Secure File Transfer Protocol") - это отдельный протокол с SSH, он работает таким же образом и вместе с тем использует защищенное соединение. Превосходством данного протокола является то, что он может взаимодействовать по защищенному соединению на обеих файловых системах, локальной и удаленной, для передачи данных.
В большинстве случаев, SFTP более предпочтительней, чем FTP, из-за того, что в SFTP встроена поддержка шифрования. FTP протокол не гарантирует вам безопасности передачи данных и исключение её перехвата, этот протокол следует использовать в той сети, которой вы полностью доверяете.