Состояние информационной безопасности предприятия - Автоматизированные системы управления и обработки информации
Безопасность информации предполагает отсутствие недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на ресурсы, используемые в автоматизированной системе. Критериями информационной безопасности являются конфиденциальность, целостность и будущая доступность информации. Современные методы управления рисками позволяют решить ряд задач перспективного стратегического развития предприятия.
Во-первых, количественно оценить текущий уровень информационной безопасности предприятия, что потребует выявления рисков на правовом, организационно-управленческом, технологическом и техническом уровнях обеспечения защиты информации.
Во-вторых, в систему риск-менеджмента на предприятии может быть включена политика безопасности и планы совершенствования корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных активов компании. С этой целью рекомендуется осуществить расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, произвести соотношение расходов на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения. Необходимо выявлять и проводить первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы. Следует определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности предприятия, а также разработать необходимый пакет организационно-распорядительной документации. Одновременно следует осуществлять разработку и согласование со службами предприятия, надзорными органами проекта внедрения необходимого комплекса защиты, учитывающего современный уровень и тенденции развития информационных технологий. Кроме того, важным мероприятием поддержки системы безопасности информации является обеспечение поддержания внедренного комплекса защиты в соответствии с изменяющимися условиями работы предприятия, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты. Система защиты информации на предприятии преследует такие цели как предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы.
На предприятии существует угрозы доступности, угрозы целостности и угрозы конфиденциальности информации.
1. Угрозами доступности информации являются:
Разрушение (уничтожение) информации: вирус, повреждение оборудования, чрезвычайная ситуация (пожар);
Отказ поддерживающей инфраструктуры: нарушение работы систем связи, электроэнергии, теплоснабжения, кондиционирования, повреждение помещения.
Мерами предотвращения данных угрозы может являться следующее:
Установка программы антивируса.
Осуществление резервного копирования данных на съемные носители для быстрого восстановления утерянных данных во время системной ошибки.
Установка аварийных источников бесперебойного питания.
Подвод электроэнергии не менее от двух независимых линий электропередачи.
Плановое обслуживание зданий и в целом всей поддерживающей инфраструктуры.
2. Угрозами целостности информации являются:
Нарушение целостности со стороны персонала: ввод неверных данных, несанкционированная модификация информации, кража информации, дублирование данных;
Потеря информации на жестких носителях;
Угрозы целостности баз данных;
Угрозы целостности программных механизмов работы предприятия.
Мерами предотвращения данной угрозы может являться следующее:
Введение и частая смена паролей.
Использование криптографических средств защиты информации.
3. Угрозами конфиденциальности являются:
Кражи оборудования;
Делегирование лишних или неиспользуемых полномочий на носитель с конфиденциальной информацией;
Открытие портов;
Установка нелицензионного ПО;
Злоупотребления полномочиями.
Методы и средства защиты информации на предприятии:
Защита информации на предприятии осуществляется комплексно и включает в себя меры следующих уровней:
1. Законодательный уровень защиты информации - это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил.
Основными законодательными актами, регулирующими вопросы информационной безопасности предприятия, являются:
Гражданский кодекс РФ ст. 139;
Уголовный кодекс гл. 28 ст. 272, 273, 274, 138, 183;
Закон Российской Федерации "Об информации, информатизации и защите информации";
Закон Российской Федерации "О коммерческой тайне".
2. Административный уровень информационной безопасности.
Политика информационной безопасности пока не утверждена.
3. Организационный уровень защиты информации.
Организационные меры являются решающим звеном формирования и реализации комплексной защите информации. Эти меры играют существенную роль в создании надежного механизма защиты информации, т. к. возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, небрежностью пользователей или персонала защиты.
Организационные меры защиты информации на предприятии реализованы следующим образом:
Организован контроль, соблюдение временного режима труда и пребывания персонала на территории организации;
Организована работа с документами и документированной информацией, т. е. ведется учет, исполнение, возврат, хранение носителей конфиденциальной информации.
В качестве недостатков данного уровня защиты можно указать следующие факты.
Несмотря на то, что предприятие переходит на программу "1С: Предприятие", бухгалтерия предпочитает работать со старыми АРМами, реализованными под MS DOS. Это связано с тем, что персонал за неимением навыков работы и времени не очень желает осваивать новый программный продукт.
Небрежность персонала, выраженная в недостаточном знании правил защиты конфиденциальной информации, непониманием необходимости тщательного их выполнения. Например, многие важные документы лежат на столах свободно, что может привести к их использованию посторонними лицами.
4. Программно-технические меры защиты информации - это совокупность аппаратных и программных средств и мероприятий по их использованию в интересах защиты конфиденциальности информации.
На предприятии осуществляется управление доступом путем деления информации по соответствующим должностям и полномочиям доступа к ней, т. е. спецификация и контроль действий пользователей над информационными ресурсами организации.
Программно-аппаратные средства защиты информации:
1. SHDSL-модем с возможностью работать в режиме маршрутизатора для закрытия сети от проникновения извне.
SHDSL модем ZyXEL предназначен для создания корпоративной сети, в основе которой лежит скоростное двунаправленное соединение по медным проводам. Используется для объединения двух офисов по одной или по двум медным парам в режиме "точка-точка" с организацией симметричного скоростного полнодуплексного соединения. Модем имеет возможность работать в режиме моста или маршрутизатора. Встроена система обнаружения и предотвращения вторжений (Intrusion Detection System - IDS).
2. Антивирусная система ESET NOD 32 для защиты от компьютерных вирусов.
Производится нерегулярное обновление баз и сканирование рабочих станций.
3. Встроенный Windows Backup для создания архивов.
OS Backup Wizard - программа, предназначенная для быстрого создания и восстановления резервной копии Windows. Она позволяет создать копию всей Windows или только отдельных файлов и папок.
4. Шифрование с ключом 2048 бит для канала vpn (подключение к офису управляющей компании для работы почты и документооборота).
Похожие статьи
-
При рассмотрении вопросов защиты АС целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой АС информации....
-
1. Общие сведения 1.1 Наименование Система информационной безопасности ФГБОУ ВПО "Нижегородский государственный архитектурно-строительный университет" 2....
-
ВВЕДЕНИЕ - Разработка модели системы информационной безопасности на предприятии
Обеспечение безопасности информационных ресурсов давно стало предметом обсуждения во многих учреждениях, в совокупности с развитием информационных...
-
Меры обеспечения безопасности АБС - Автоматизированные системы обработки экономической информации
Система защиты АБС - совокупность специальных мер правового и административного характера, организационных мероприятий, физических и технических средств...
-
Классификация и анализ источников угроз и уязвимостей безопасности В информационной безопасности под угрозой понимают потенциальное событие или действие,...
-
1.1 Физические средства-различные устройства и системы механического, электрического либо электронного плана, деятельность которых не зависит от...
-
Физическая защита Безопасность информационной системы зависит от окружения, в котором она функционирует. Необходимо принять меры для защиты зданий и...
-
Модель нарушителя - Разработка модели системы информационной безопасности на предприятии
Обеспечение защиты информационных активов университета специфично, так как это учреждение с непостоянной аудиторией. По причине того, что атаки могут...
-
База данных представляет собой информационную модель того объекта (организации или предприятия), информация о котором требуется пользователю для...
-
Учебный процесс в ННГАСУ сопровождается значительной информационной базой, развитием компьютерного парка и внедрением в образовательный процесс...
-
При создании или при классификации информационных систем неизбежно возникают проблемы, связанные с формальным - математическим и алгоритмическим...
-
Постановление Правительства Российской Федерации №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах...
-
Введение - Обеспечение информационной безопасности на предприятии
Данная статья посвящена важности информационной системы и необходимости ее защиты. В ней говориться о различных средствах и методах, помогающих...
-
Рабочее место -- это зона нахождения работника и средств приложения его труда, которая определяется на основе технических и эргономических нормативов и...
-
Наиболее распространенная форма - ЭВМ. Раньше чаще использовались вычислительные центры (ВЦ). Вычислительный центр - организуется и специализируется на...
-
Внутримашинное ИО - Автоматизированные системы обработки экономической информации
Это совокупность всех данных, записанных на машинных носителях, сгруппированных по определенным признакам. ИО формирует информационную среду....
-
1. по функциональному назначению: информационные сети, вычислительные (по обработке), смешанные. Информационная сеть выполняет функции обработки,...
-
Анализ на соответствие стандартам и существующим политикам Проанализировав актуальные стандарты и "лучшие практики" в сфере информационной безопасности и...
-
Для определения актуальных угроз безопасности, необходимо учитывать два значения. Первый показатель - это уровень исходной защищенности информационной...
-
Система - совокупность разнородных объектов, объединенных для достижения определенной цели. Системы могут различаться по элементам и целям....
-
АРМ - это рабочее место, которое оснащено вычислительной техникой и другими инструментальными средствами, обеспечивающими автоматизацию большей части...
-
Требования к функциональным характеристикам система должна обеспечивать выполнение следующих функций: - Актуальная информативность Исходные данные:...
-
- Подключение к исходной базе данных пользователей внешних информационных систем; - Отказ в доступе к желаемому ресурсу, если пользователем не пройдена...
-
Назначение и технологические функции автоматизированной системы оперативного управления перевозками Автоматизированная система оперативного управления...
-
Основные требования и характеристики современных и применение технических средств АИС Автоматизированная информационная система (АИС) представляет собой...
-
Информационный безопасность автоматизированный угроза Классификация угроз информационной безопасности Анализ актуальных угроз конфиденциальной...
-
Режим эксплуатации АРМ должен соответствовать режиму работы сотрудников, то есть пользователей в соответствии со штатным расписанием рабочего дня,...
-
Защита информации в БД - Банки и базы данных. Системы управления базами данных
Целью защиты информации является обеспечение безопасности ее хранения и обрабатывания. Процесс построения эффективной защиты начинается на начальных...
-
Доклад Всемирного экономического форума "Глобальные риски 2012" ("Global Risks 2012") рассматривает кибератаки как одну из основных угроз мировой...
-
Автоматизированные информационные системы - Технологический процесс в электронной промышленности
Полностью Автоматизированная информационная система или АИС -- это совокупность различных программно-аппаратных средств, которые предназначены для...
-
Угроза - целенаправленное действие, которое повышает уязвимость накапливаемой, хранимой и обрабатываемой системы информации и приводит к ее случайному...
-
Разработка программного продукта - Автоматизированные системы управления и обработки информации
В большей степени программные продукты не являются монолитом и имеют конструкцию (архитектуру) построения - состав и взаимосвязь программных модулей....
-
Состояние ОТ и ТБ - Автоматизированные системы управления и обработки информации
Инструктаж по технике безопасности проводит главный инженер по технике безопасности. Особое значение имеет инструктаж на рабочем месте с показом...
-
Оценка стоимости разработки программного обеспечения, или, в частности информационной системы, - один из самых важных, сложных и в то же время неизбежных...
-
Табличный процессор или электронная таблица - это интерактивная система обработки данных, в основе которой лежит двухмерная таблица. Ячейки таблицы могут...
-
ПО развивается исходя из требований других подсистем. ПО при обработке данных является связующим звеном между комплексом технических средств и другими...
-
1.Технические (аппаратные средства) - это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными...
-
Этапы жизненного цикла БД включают: -Планирование БД - определяются принципы, задачи создания БД. -Проектирование БД. -Материализация БД -...
-
Описание проекта, который является объектом исследования Проект - представляет собой внедрение информационно - аналитической системы управления карьерой...
-
Внутреннее строение автоматизированных информационных технологий управления - Управление по функциям
В процессе создания и в ходе функционирования автоматизированных информационных технологий управления выделяют некоторые аспекты внутреннего строения...
Состояние информационной безопасности предприятия - Автоматизированные системы управления и обработки информации