Диплом КУКС (1198255), страница 10

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 10)

Таблица 13 – Оценка эффективности мероприятий

Данные табл. 3.10 свидетельствуют о том, что показатели оборачиваемости дебиторской, на ОАО «Хабречторгпорт» улучшились.

Коэффициент оборачиваемости дебиторской задолженности увеличился с 8 до 13, то есть дебиторская задолженность превращается в денежные средства в течение года 13 раз, а ускорение оборота требует для обслуживания производственного процесса меньше денежных средств.

Период оборачиваемости дебиторской задолженности в днях – снизился. С 46 дней до 30. Уменьшение данного показателя положительно скажется на сроке погашения задолженности, так как показывает насколько быстро организация получает оплату за оказанные услуги от своих покупателей.

Снизился и показатель доли дебиторской задолженности в общем объеме оборотных активов с 35 % до 26 %: чем ниже этот показатель, тем мобильнее структура имущества ОАО «Хабречторгпорт» и тем выше ее финансовая устойчивость.

Таким образом, предложенные для ОАО «Хабречторгпорт» к реализации мероприятия позволяют без привлечения заемных средств улучшить финансовую дисциплину предприятия и его контрагентов, а также улучшить (повысить) в перспективе финансовую устойчивость предприятия.

4 Информационная безопасность

4.1 Понятие и виды угроз информационной безопасности

Информационная безопасность предприятия – это состояние защищённости корпоративных данных, при которой обеспечивается их конфиденциальность, целостность, аутентичность и доступность.

Информационная безопасность предприятия достигается целым комплексом организационных и технических мер, направленных на защиту корпоративных данных. Организационные меры включают документированные процедуры и правила работы с разными видами информации, ИТ-сервисами, средствами защиты и т.д. Технические меры заключаются в использовании аппаратных и программных средств контроля доступа, мониторинга утечек, антивирусной защиты, межсетевого экранирования, защиты от электромагнитных излучений [9].

Существует два основных направления информационной безопасности - физическая и компьютерная безопасность. Их можно охарактеризовать следующим образом.

Физическая безопасность – обеспечение сохранности самого оборудования, предназначенного для функционирования информационной среды, контроль доступа людей к этому оборудованию, а также защита самих пользователей информационной среды от физического воздействия злоумышленников, а также защиты информации не виртуального характера (материальных копий - распечаток, служебных телефонных справочников, домашних адресов сотрудников, испорченных внешних носителей и т.п.).

Компьютерная безопасность (сетевая безопасность, телекоммуникационная безопасность, безопасность данных) - обеспечение защиты информации в ее виртуальном виде.

Все способы, которые используются для обеспечения безопасности информации можно разделить на две группы:

1. Законные способы – направлены на сбор информации (открытой и конфиденциальной) о различных участниках рынка и только легальными методами. Эту группу методов называют еще конкурентной (маркетинговой, деловой) разведкой – не афишируемый, но весьма распространенный инструмент в арсенале служб маркетинга и безопасности современных корпораций. Важнейший его элемент – сбор информации о конкурентах, которая необходима при разработке стратегии развития и продвижения любой компании.

Конкурентная разведка – это специфическая функция, связанная с деятельностью службы безопасности коммерческого предприятия и выражающаяся в сборе конфиденциальной информации о рынке и деятельности конкурентов.

Основными источниками получения информации служат рекламные буклеты, СМИ, интернет, а в некоторых случаях и сами товары. Открытыми источниками нередко становятся болтливые сотрудники (друзья, родственники, знакомые) проверяемого лица.

2. Незаконные способы (промышленно-экономический шпионаж) – это деятельность, направленная на выведывание производственных и деловых секретов конкурентов и получение обманным путем конфиденциальной информации, используемой для достижения коммерческих целей. К ним относятся следующие методы:

1. электронный доступ к секретным данным;

2. подслушивание при помощи подсоединения к кабельным сетям, установка подслушивающей аппаратуры в офисе, перехват разговоров по мобильным телефонам;

3. несанкционированный доступ к компьютерным системам посредством проникновения в сеть, взлома программного или аппаратного обеспечения;

4. физический доступ к секретным материалам;

5. применение скрытого визуального наблюдения, фото- или видеосъемки;

6. использование личных связей с сотрудниками фирмы;

7. хищение информации, содержащейся в документах, чертежах, на флэш-картах или компакт-дисках;

8. подкуп служащих фирмы;

9. взяточничество;

10. использование внедренных в фирму агентов;

Под угрозой безопасности информации понимается действие или событие, которое может привести к разрушению, искажению или не санкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.

Для предотвращения и ликвидации угроз информационной безопасности используют правовые, программно-технические и организационно-экономические методы.

Правовые методы предусматривают разработку комплекса нормативно-правовых актов и положений, регламентирующих информационные отношения в обществе, руководящих и нормативно-методических документов по обеспечению информационной безопасности.

Программно-технические методы – это совокупность средств: предотвращение утечки информации, исключение возможности несанкционированного доступа к информации, предотвращение воздействиям, которые приводят к уничтожению, разрушению, искажению информации или сбои, или отказов в функционировании средств информатизации, выявление закладных устройств, исключение перехвата информации техническими средствами, использование криптографических средств защиты информации при передаче по каналам связи.

Организационно-экономические методы предполагают формирование и обеспечение функционирования систем защиты секретной и конфиденциальной информации, сертификацию этих систем согласно требованиям информационной безопасности, лицензирования деятельности в сфере информационной безопасности, стандартизации способов и средств защиты информации, контроль за действиями персонала в защищенных информационных системах.

Важное значение для предотвращения информационным угрозам имеет мотивация, экономическое стимулирование и психологическая поддержка деятельности персонала, который обеспечивает информационную безопасность.

Методы обеспечения безопасности информации:

1. препятствие;

2. управление доступом;

3. механизмы шифрования;

4. противодействие атакам вредоносных программ;

5. регламентация;

6. принуждение;

7. побуждение.

Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом – методы защиты информации регулированием использования всех ресурсов ИС (информационных систем) и ИТ (информационных технологий). Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации.

Управление доступом включает следующие функции зашиты:

1. идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

2. опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

3. проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

4. разрешение и создание условий работы в пределах установленного регламента;

5. регистрацию (протоколирование) обращений к защищаемым ресурсам;

6. реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.

Механизмы шифрования – криптографическое закрытие информации. Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ. Цели принимаемых мер - это уменьшение вероятности инфицирования ИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС. Овладение этим комплексом мер и средств требует знакомства со специальной литературой.

Регламентация – создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которых нормы и стандарты по защите выполняются в наибольшей степени.

Принуждение – метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение – метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Вся совокупность технических средств подразделяется на аппаратные и физические.

Аппаратные средства – устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.

Программные средства – это специальные программы и программные комплексы, предназначенные для защиты информации в ИС.

Из средств ПО (программного обеспечения) системы защиты можно выделить программные средства, реализующие механизмы шифрования (криптографии). Криптография - это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.

Организационные средства осуществляют своим комплексом регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий. Комплекс этих мер реализуется группой информационной безопасности, но должен находиться под контролем первого руководителя.

Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Морально-этические средства защиты включают всевозможные нормы поведения (которые традиционно сложились ранее), складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписаные (например, честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения.

Для устранения угроз безопасности информации на предприятии необходимо разрабатывать и внедрять политику информационной безопасности и комплексные системы мер информационной защиты.

4.2 Обеспечение информационной безопасности в ОАО «Хабречторгпорт»

На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности, который применяется и в ОАО «Хабречторгпорт»:

1. средства идентификации и аутентификации пользователей;

2. средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;

3. межсетевые экраны;

4. виртуальные частные сети;

5. средства контентной фильтрации;

6. инструменты проверки целостности содержимого дисков;

7. средства антивирусной защиты;

8. системы обнаружения уязвимостей сетей и анализаторы сетевых атак.

Обеспечение ИБ, а именно аутентификация (идентификация) на предприятии начинается на контрольно-пропускном пункте при входе. Каждый сотрудник организации имеет свою карту-пропуск, которая имеет свой уникальный код для авторизации в системе безопасности. Сотрудник прикладывает свою карту к считывателю и только тогда может пройти в здание. Данный метод пропуска позволяет не только предотвратить проникновение внутрь здания злоумышленникам и посторонним людям, а также помогает следить за точным временем прихода и ухода сотрудников организации, что позволяет поддерживать дисциплину внутри компании. Идентификация и авторизация – это ключевые элементы информационной безопасности. У каждого сотрудника организации в использовании находятся современные персональные компьютеры с новейшими и наиболее защищенными версиями программного обеспечения, такими как: Windows или macOS. При попытке доступа к какой-либо программе функция идентификации попросит ввести пользователя свои логин и пароль. Функция авторизации отвечает за то, к каким ресурсам конкретный пользователь имеет доступ. Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий. В ОАО «Хабречторгпорт» при открытии программ запрашивается пароль и логин каждого сотрудника, а при осуществлении каких-либо операций в некоторых случаях нужна авторизация руководителя или его заместителя.

Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам. Задача данного средства защиты - обеспечение конфиденциальности. Основные требования, предъявляемые к системам шифрования – высокий уровень криптостойкости и легальность использования на территории России.

С помощью средства шифрования компания получает возможность защитить свою корпоративную информацию – сведения, представляющие коммерческую тайну, интеллектуальную собственность, оперативную и т.д.
На сегодняшний день для эффективного применения в корпоративной среде, программа для шифрования должна обеспечивать:

• шифрование данных на удаленном сервере;

• поддержку асимметричной криптографии;

• прозрачное шифрование;

• шифрование сетевых папок;

• возможность разграничения прав доступа к конфиденциальной информации между сотрудниками компании;

• возможность хранения сотрудниками закрытых ключей на внешних носителях информации (токенах).

В ОАО «Хабречторгпорт» используется программа CyberSafe Enterprise, которая поддерживает все вышеперечисленные возможности, способна обеспечить достаточно надежную защиту.

Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных. Основной принцип действия межсетевых экранов. проверка каждого пакета данных на соответствие входящего и исходящего IP адреса базе разрешенных адресов.

Характеристики

Список файлов ВКР