ДИПЛОМ (1189980), страница 14

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 14)

Для каждого современного предприятия, компании или организации одной из самых главных задач является именно обеспечение информационной безопасности. Когда предприятие стабильно защищает свою информационную систему, оно создает надежную и безопасную среду для своей деятельности. Повреждение, утечка и кража информации — это всегда убытки для каждой компании.

Согласно ГОСТ Р 50922-2006, обеспечение информационной безопасности - это деятельность, направленная на предотвращение утечки информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Информационная безопасность актуальна как для предприятий, так и для госучреждений. С целью всесторонней защиты информационных ресурсов и осуществляются работы по построению и разработке систем информационной безопасности [14].

В общем понятии информационная безопасность — это состояние защищенности информации. Информационная безопасность создает условия формирования безопасного состояния информационной среды общества, его использование и развитие в интересах граждан, предприятий и даже государства.

На данный момент сформулировано три базовых задачи, которые должна обеспечивать информационная безопасность:

1. Целостность данных — защита от сбоев, ведущих к потере информации, а также защита от незаконного создания или уничтожения данных. Примером нарушения целостности данных является повреждение бухгалтерских баз, в дальнейшем это повлечет за собой последствия, которые определенно станут негативными для предприятия.

2. Конфиденциальность информации — незаконное разглашение, утечка, повреждение информации;

3. Доступность информации для всех пользователей — отказ в обслуживании или услугах, которые могут быть вызваны вирусной активностью или действиями злоумышленников [18].

Нарушение одного из этих аспектов может привести к невозможности нормальной работы предприятия. На наличие любого из нарушений могут повлиять и внутренние, и внешние угрозы. Учитывая сегодняшнее развитие информационного общества, можно сделать вывод о тенденции к росту количества угроз безопасности.

Полноценная информационная безопасность предприятия предполагает постоянный контроль всех существенных событий и состояний, которые влияют на надежность защиты информации. Причем, защита обязана осуществляться постоянно и охватывать весь жизненный цикл данных, то есть от ее поступления или создания до уничтожения или утраты важности и актуальности.

4.2 Организационная защита информации в ФГУП «РТРС»

В ФГУП «Российские телевизионные и радиовещательные сети» разработаны следующие организационно-распорядительные документы:

1. Положение о конфиденциальной информации ФГУП «РТРС» от 26.07.2006 г. Указанное Положение регламентирует организацию, порядок работы со сведениями, составляющими конфиденциальную информацию, обязанности и ответственность сотрудников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения, составляющим коммерческую тайну;

2. Перечень сведений, составляющих служебную и коммерческую тайну. Перечень определяет сведения, отнесенные к категориям конфиденциальных, уровень и сроки обеспечения ограничений по доступу к защищаемой информации;

3. Приказы и распоряжения по установлению режима безопасности информации:

- о допуске сотрудников к работе с информацией ограниченного распространения;

- о назначении администраторов и лиц, ответственных за работу с информацией ограниченного распространения в корпоративной информационной системе;

1. Инструкции и функциональные обязанности сотрудникам:

- по организации охранно-пропускного режима;

- по организации делопроизводства;

- по администрированию информационных ресурсов корпоративной информационной системы;

- другие нормативные документы.

Существует множество причин, которые могут серьёзно повлиять на работу локальных и глобальных сетей, привести к потере ценной информации [13]. Среди них можно выделить следующие:

1. Несанкционированный доступ извне, копирование или изменение информации случайные или умышленные действия, приводящие к:

1.1 искажению либо уничтожению данных;

1.2 ознакомление посторонних лиц с информацией, составляющей коммерческую, финансовую или государственную тайну.

2. Некорректная работа программного обеспечения, приводящая к потере или порче данных из-за:

2.1 ошибок в прикладном или сетевом ПО;

2.2 заражения систем компьютерными вирусами.

3. Технические сбои оборудования, вызванные:

3.1 отключением электропитания;

3.2 отказом дисковых систем и систем архивации данных;

3.3 нарушением работы серверов, рабочих станций, сетевых карт, модемов.

4. Ошибки обслуживающего персонала.

На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности, который применяется и в ФГУП «РТРС»:

1. Средства идентификации и аутентификации пользователей;

2. Средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;

3. Защита от атак пользователей дистанционных банковских каналов;

4. Межсетевые экраны;

5. Виртуальные частные сети;

6. Средства контентной фильтрации;

7. Инструменты проверки целостности содержимого дисков;

8. Средства антивирусной защиты;

9. Системы обнаружения уязвимостей сетей и анализаторы сетевых атак.

Средства идентификации, аутентификации, авторизации и администрирования. Идентификация и авторизация - это ключевые элементы информационной безопасности. При попытке доступа к какой - либо программе функция идентификации задает контрольный вопрос, являетесь ли вы авторизованным пользователем программы. Функция авторизации отвечает за то, к каким ресурсам конкретный пользователь имеет доступ. Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий [8]. В «РТРС» при открытии программ запрашивается пароль и логин каждого сотрудника, а при осуществлении каких-либо операций в некоторых случаях нужна авторизация руководителя или его заместителя в отделении. Согласно нормативному документу ФГУП «РТРС» «Разрешительная система доступа к конфиденциальной информации», представленной в таблице 4.1 мы видим, кто из сотрудников предприятия выдает разрешение на доступ к конфиденциальной информации.

Таблица 4.1 - Разрешительная система доступа к конфиденциальной информации

* Разрешение на доступ, передачу, предоставление конфиденциальной информации, составляющей коммерческую тайну Предприятия, сторонних организаций выдает исключительно Генеральный директор Предприятия.

** Разрешение на передачу, предоставление конфиденциальной информации, отнесенной к информации для служебного пользования, представителям сторонних организаций вправе выдавать заместитель Генерального директора, руководители ОСП Предприятия в пределах предоставляемых полномочий.

После получения доступа к конфиденциальной информации подписывается соглашение о взаимных обязательствах по сохранности сведений, используемых при совместных работах (сотрудничестве). Разглашение конфиденциальной информации влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательном Российской Федерации.

Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам. Задача данного средства защиты - обеспечение конфиденциальности. Основные требования, предъявляемые к системам шифрования - высокий уровень криптостойкости и легальность использования на территории России.

Защита от атак пользователей дистанционных банковских каналов. При входе в программу банка необходимо проверять подлинность индивидуального адреса. Для проведения операций безналичных расчетов на предприятии ФГУП «РТРС» рекомендуется использовать ПЭВМ, с защищенной локальной сетью, блокировка Java, журнал учета и т.д.

Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных. Основной принцип действия межсетевых экранов проверка каждого пакета данных на соответствие входящего и исходящего IP_адреса базе разрешенных адресов [9]. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.

Говоря о криптографии и межсетевых экранах, следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network - VPN). Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам. Защита информации в процессе ее передачи по открытым каналам основана на использовании виртуальных защищенных сетей VPN [10]. Виртуальной защищенной сетью VPN называют объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных. Виртуальная защищенная сеть VPN формируется путем построения виртуальных защищенных каналов связи, создаваемых на базе открытых каналов связи обще­доступной сети. Эти виртуальные защищенные каналы связи называются тунне­лями VPN. Сеть VPN позволяет с помощью туннелей VPN соединить централь­ный офис, офисы филиалов, офисы бизнес-партнеров и удаленных пользователей и безопасно передавать информацию через Internet (рисунок 4.1).

Рисунок 4.1 – Виртуальная защищенная сеть VPN

Туннель VPN представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений виртуальной сети. Защита информации в процессе ее передачи по туннелю VPN основана на выполнении следующих функций:

– аутентификации взаимодействующих сторон;

– криптографического закрытия (шифрования) передаваемых данных;

– проверки подлинности и целостности доставляемой информации.

Для этих функций характерна взаимосвязь. При их реализации используются криптографические методы защиты информации. Эффективность такой защиты обеспечивается за счет совместного использования симметричных и асимметрич­ных криптографических систем.

Отношения в области использования электронных подписей для ФГУП «РТРС» являются неотъемлемой частью при совершении гражданско-правовых сделок, оказании услуг, исполнении своих функций, при совершении иных юридически значимых действий, регулируются Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» [10].

Электронная подпись (ЭП; ранее - электронная цифровая подпись, ЭЦП) является полноценной заменой рукописной подписи. Она обладает полной юридической силой согласно законодательству РФ. Для юридических лиц — это незаменимый инструмент, который позволяет наладить удобный и эффективный документооборот как внутри компании, так и с внешними контрагентами.

Позволяет доказать авторство подписанного документа и обеспечивает неизменность содержащейся в нем информации. Неквалифицированная электронная подпись используется для внутреннего документооборота, а также для обмена электронными документами между несколькими сторонами взаимодействия. Во втором случае, компании должны заключить между собой соглашение, устанавливающие правила признания и использования ЭП.

В создании такой подписи используются средства криптографической защиты, которые обеспечивают информационную безопасность при взаимодействии.

Квалифицированная электронная подпись (КЭП) - обладает всеми характеристиками неквалифицированной, однако она может быть получена только в аккредитованном удостоверяющем центре. КЭП используется для сдачи отчетности в контролирующие органы государственной власти и для участия в электронных торгах.

Средства криптографической защиты, необходимые для работы с КЭП, должны быть сертифицированы органами ФСБ России. В результате, квалифицированная электронная подпись становится полноценной заменой (аналогом) собственноручной подписи и обеспечивает выполнение требований по обеспечению безопасности информации ограниченного доступа.

Характеристики

Список файлов ВКР