диплом (1208404), страница 14
Текст из файла (страница 14)
Обеспечение информационной безопасности - это деятельность, направленная на предотвращение утечки информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Информационная безопасность актуальна как для предприятий, с целью всесторонней защиты информационных ресурсов и осуществляются работы по построению и разработке систем информационной безопасности. [22]
Существует множество причин, которые могут серьёзно повлиять на работу локальных и глобальных сетей, привести к потере ценной информации. Среди них можно выделить следующие:
1. Несанкционированный доступ извне, копирование или изменение информации случайные или умышленные действия, приводящие к:
- искажению либо уничтожению данных;
ознакомление посторонних лиц с информацией, составляющей финансовую или коммерческую тайну.
2. Некорректная работа программного обеспечения, приводящая к потере или порче данных из-за:
- ошибок в прикладном или сетевом программном обеспечении;
- заражения систем компьютерными вирусами.
3. Технические сбои оборудования, вызванные:
- отключением электропитания;
- отказом дисковых систем и систем архивации данных;
- нарушением работы серверов, рабочих станций, сетевых карт, модемов.
4. Ошибки обслуживающего персонала.
Конечно, универсального решения, исключающего все перечисленные причины, нет, однако во многих организациях разработаны и применяются технические и административные меры, позволяющие риск потери данных или несанкционированного доступа к ним свести к минимуму. [50]
На сегодняшний день существует большой арсенал методов обеспечения информационной безопасности.
- средства идентификации и аутентификации пользователей;
- средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;
- межсетевые экраны;
- виртуальные частные сети;
- средства контентной фильтрации;
- инструменты проверки целостности содержимого дисков;
- средства антивирусной защиты;
- системы обнаружения уязвимостей сетей и анализаторы сетевых атак. [6]
Сначала стоит поговорить по поводу предложенных методов обеспечения информационной безопасности, которые применяются на ООО «Ресурс», а затем которые не применяются.
Идентификация и авторизация - это ключевые элементы информационной безопасности. При попытке доступа к какой - либо программе функция идентификации дает ответ на вопрос: "Кто вы?" и "Где вы?", являетесь ли вы авторизованным пользователем программы. Функция авторизации отвечает за то, к каким ресурсам конкретный пользователь имеет доступ. Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий. В ООО "Ресурс" при открытии программ запрашивается пароль и логин каждого сотрудника, а при осуществлении каких-либо операций в некоторых случаях нужна авторизация руководителя или его заместителя.
Эффективное средство защиты от потери конфиденциальной информации. Фильтрация содержимого входящей и исходящей электронной почты. Проверка самих почтовых сообщений и вложений в них на основе правил, установленных в организации, позволяет также обезопасить компании от ответственности по судебным искам и защитить их сотрудников от спама. Средства контентной фильтрации позволяют проверять файлы всех распространенных форматов, в том числе сжатые и графические. При этом пропускная способность сети практически не меняется.
Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны. [29]
Далее нужно обратить внимание, что следующие методы не применяются на ООО «Ресурс». Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам. Задача данного средства защиты - обеспечение конфиденциальности. Основные требования, предъявляемые к системам шифрования - высокий уровень криптостойкости и легальность использования на территории России.
Межсетевой экран представляет собой систему или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных. Основной принцип действия межсетевых экранов. проверка каждого пакета данных на соответствие входящего и исходящего IP_адреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных. [32]
Можно выделить несколько наиболее типичных видов и способов информационных угроз:
- рассекречивание и кража коммерческой тайны. Если раньше секреты хранились в потайных местах, в массивных сейфах, под надежной физической и (позднее) электронной защитой, то сегодня многие служащие имеют доступ к офисным базам данных, нередко содержащим весьма чувствительную информацию, например, те же данные о клиентах.
- распространение компрометирующих материалов. То есть умышленное или случайное использование сотрудниками в электронной переписке таких сведений, которые бросают тень на репутацию предприятия.
- посягательство на интеллектуальную собственность. Важно не забывать, что любой интеллектуальный продукт, производимый в организациях, принадлежит ей и не может использоваться сотрудниками иначе как в интересах организации. Между тем, в России по этому поводу часто возникают конфликты между организациями и служащими, претендующими на созданный ими интеллектуальный продукт и использующими его в личных интересах, в ущерб организации. Это нередко происходит из-за расплывчатой правовой ситуации на предприятии, когда в трудовом контракте нет четко прописанных норм и правил, очерчивающих права и обязанности служащих. [6]
1) распространение (часто неумышленное) внутренней информации, не секретной, но могущей быть полезной для конкурентов.
2) посещения сайтов предприятий-конкурентов. Сейчас все больше компаний используют на своих открытых сайтах программы, которые позволяют распознавать посетителей и детально отслеживать их маршруты, фиксировать время, длительность просмотра ими страниц сайта. Сайты конкурентов были и остаются ценным источником для анализа и прогноза.
3) злоупотребление офисными коммуникациями в личных целях , не несет прямой угрозы для информационной безопасности, но создает дополнительные нагрузки на корпоративную сеть, снижает эффективность, мешает работе коллег.
И, наконец, внешние угрозы - несанкционированные вторжения и т.п.
Правила, принятые в организации, должны соответствовать как национальному, так и международно-признанным нормам защиты государственных и коммерческих тайн, персональной и приватной информации.
Конечно, универсального решения, исключающего все причины которые могут повредить информационную безопасность, нет, однако в ООО «Ресурс» разработаны и применяются технические меры, такие как антивирусы, пароли, резервное питание, позволяющие риск потери данных или несанкционированного доступа к ним свести к минимуму. Но, к сожалению, технические меры так же работают не в том ритме, котором бы следовало.
Поэтому, стоит срочно пересмотреть все меры информационной безопасности и начать действовать.
Руководитель предприятия (фирмы) вне зависимости от форм собственности может устанавливать специальные правила доступа к сведениям, составляющим коммерческую тайну, и ее носителям, тем самым обеспечивая их сохранность. [14]
Под доступом понимается получение письменного разрешения руководителя фирмы (или, с его санкции, других руководящих лиц) на выдачу тому или иному сотруднику конкретных (или в полном объеме) закрытых сведений с учетом его служебных обязанностей (должностных полномочий).
Руководитель организации может разрешить пользование любой охраняемой информацией любому работнику данного предприятия или лицу, прибывшему на объект из другой организации для решения каких-либо вопросов, если в отношении этих сведений не установлены ограничения на ознакомление со стороны производственно-коммерческих партнеров по совместному производству и т.п. Так, в ООО «Ресурс» рекомендуется ограничить доступ к информации, являющейся коммерческой тайной (договора с поставщиками и клиентами, итоговые отчеты о сделках).
Для эффективной работы разрешительной системы необходимо соблюдение определенных правил:
1. Необходимо документальное отражение выданного разрешения на право пользования теми или иными защищаемыми сведениями. Это означает, что руководитель, давший разрешения на право пользования, должен его в обязательном порядке зафиксировать в письменном виде на соответствующем документе или в действующей на предприятии учетной форме. Никакие устные указания и просьбы о доступе кого бы то ни было (за исключением руководителя предприятия) не имеют юридической силы.
2. Следует строго соблюдать принцип контроля. Каждое разрешение должно иметь дату его оформления и выдачи.
Вся классифицированная документация и изделия, поступившие на предприятие и разработанные на нем, должны приниматься и учитываться руководством среднего звена. После регистрации документация должна передаваться на рассмотрение директору предприятия под расписку.
Важно подчеркнуть, что установление на фирме определенного порядка обращения с закрытой информацией и изделиями существенным образом повышает надежность защиты коммерческой тайны, снижает вероятность разглашения, утраты носителей этих сведений. [43]
Для обеспечения сохранности документации предлагается закупить соответствующую мебель, которая позволяет надежно запирать документы.
Особое внимание следует уделить безопасности компьютерной информации. В ООО «Ресурс» сегодня создано несколько баз данных: клиенты фирмы (с указанием не только их рабочих адресов и телефонов, но и домашних, а также сведений носящих личный характер); база данных, содержащая цены и характеристику поставляемого товара; база данных сотрудников организации. Так же в компьютере хранятся различные договора, соглашения и т.п.
В любом случае, попадание этой информации в руки конкурентов крайне нежелательно. Для предотвращения такого развития событий рекомендуется создание паролей для доступа в каждую базу данных, а не выборочно как это сейчас функционирует ( программные средства позволяют это реализовать). При загрузке компьютера так же рекомендуется ставить двухуровневую защиту. Естественно, пароли так же должны быть доступны только тем сотрудникам фирмы, которые непосредственно работают с этими базами данных (директор, заместитель директора, бухгалтера).
В случае возникновения каких-либо проблем, связанных с компьютером и необходимости обращения в постороннюю фирму, необходимо полностью контролировать процесс ремонта техники. Так как именно в такой момент, когда сняты все пароли, когда программист «со стороны» имеет свободный и беспрепятственный доступ к содержимому жесткого диска, возможно изъятие им информации и дальнейшее ее использование в различных целях.
Необходимо постоянно обновлять антивирусные программы, а не забывать и оставлять можно сказать без защиты технику. Рекомендуется приобрести в фирму специальную аппаратуру для уничтожения бумажной информации. Организовать работу по обучению персонала навыкам работы с новыми программными продуктами при участии квалифицированных специалистов. Провести инструктаж для того, чтобы каждый сотрудник осознал всю важность и конфиденциальность вверенной ему информации, т.к., как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимания (или недопонимания) необходимости их тщательного соблюдения.
ООО «Ресурс» не исключение, на котором плохо работает информационная безопасность, как правило руководителей в первую очередь интересует экономические показатели организации, а беспокойства об информационной безопасности уже отходят на второй план.
Информационная эра привела к драматическим изменениям в способе выполнения своих обязанностей для большого числа профессий. Теперь нетехнический специалист среднего уровня может выполнять работу, которую раньше делал высококвалифицированный программист. Служащий имеет в своем распоряжении столько точной и оперативной информации, сколько никогда не имел. [31]
Но использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем для руководства организацией. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным. И поэтому должно быть ясно, что информация - это ресурс, который надо защищать.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
