Реферат: Совершенствование системы информационной безопасности на предприятии ООО "УК "Ашатли"

/> 

КУРСОВОЙ ПРОЕКТ

на тему: «Совершенствованиесистемы информационной безопасности на предприятии ООО «УК «Ашатли»»


/>Введение

Тема разработки политики информационнойбезопасности на предприятиях, фирмах и организациях актуальна в современноммире. Информационная безопасность (на уровне предприятий и организаций) – этозащищённость информации и поддерживающей инфраструктуры от случайных илипреднамеренных воздействий естественного или искусственного характера, которыемогут нанести недопустимый ущерб субъектам информационных отношений.

На предприятии действует современная локальнаявычислительная сеть и установлено необходимое программное обеспечение, а такжесуществует выход в Internet. При существовании такого количества информационныхресурсов, необходимо и наличие политики информационной безопасности. На данномпредприятии необходимо совершенствовать политику информационной безопасностидля минимизации угроз информационной безопасности, что и является целью дляданного курсового проекта. Угроза информационной безопасности – это реальноеили потенциальное действие, направленное на нарушения информационнойбезопасности, приводящие к материальному и моральному ущербу.


/>1. Анализ информационной безопасностиООО «УК «Ашатли»1.1 Общие сведения об организации

Агрохолдинг «Ашатли» – это динамичноразвивающаяся, вертикально и горизонтально интегрированная группа компанийсельскохозяйственного направления, участник проекта «Покупай Пермское!».

Агрохолдинг «Ашатли» создан в 2007 году и насегодняшний день имеет следующие направления деятельности: молочноеживотноводство, молочная переработка, растениеводство, выращивание овощей,салатов и зелени в закрытом грунте, цветоводство на гидропонике, а такжеземельное направление и мясной ритейл.

Одним из преимуществ, как динамично развивающегосяхолдинга, является гибкий подход к специфике работы и пожеланиям клиентов.Специалисты фирмы в состоянии выполнять работы практически любого объема исложности. Разносторонний опыт работы и профессионализм сотрудников позволяетгарантировать выполнение любых задач в договорной срок.

Местонахождение ООО «Управляющая компания«Ашатли»

614010, Россия, Пермский край, г. Пермь, Комсомольскийпроспект, 70а

1.2 Характеристика информационных ресурсов предприятия

Согласно ФЗ «Об информации, информационных технологиях и о защитеинформации», к общедоступной информации относятся общеизвестные сведения и инаяинформация, доступ к которой не ограничен. Общедоступная информация можетиспользоваться любыми лицами по их усмотрению при соблюдении установленныхфедеральными законами ограничений в отношении распространения такой информации.

В ООО «УК«Ашатли» общедоступная информация представлена на сайте компании или может бытьпредоставлена менеджерами кампании. К такой информации относится:

· сведения,содержащиеся в уставе организации.

· Финансовая отчетность;

· Составруководства и т.д.;

· Информацияо наградах и тендерах кампании;

· Информацияо вакансиях и сведения о численности и составе работников, об условиях ихтруда, о системе оплаты труда;

· Контактные данные менеджеров кампании;

В организациитакже имеются сведения, на использование и распространение которых введеныограничения их собственником, т.е. организацией. Такая информация называетсязащищаемой. К ней можно отнести сведения, касающиеся личной жизни работниковорганизации.

Следующий тип информации – это информация, представляющаякоммерческую тайну. Согласно ФЗ «Об информации, информационных технологиях и озащите информации», информация, составляющая коммерческую тайну (секретпроизводства), – сведения любого характера (производственные, технические,экономические, организационные и другие), в том числе о результатахинтеллектуальной деятельности в научно-технической сфере, а также сведения оспособах осуществления профессиональной деятельности, которые имеютдействительную или потенциальную коммерческую ценность в силу неизвестности ихтретьим лицам, к которым у третьих лиц нет свободного доступа на законномосновании, в отношении которых обладателем таких сведений введен режимкоммерческой тайны (п. 2 в ред. Федерального закона от 18.12.2006 №231-ФЗ)

К коммерческой тайне в ООО «УК «Ашатли» относится следующаяинформация:

· Информация о личности работников, домашних адресов.

· Информацияо клиентах, их контактные и личные данные.

· Информацияо проектах, сроках и условиях договоров.

К информационным ресурсам фирмы относится документы и акты набумажных носителях, локальная вычислительная сеть.

1.3 Угрозы информационной безопасности, характерные для данногопредприятия

Под угрозой информационной безопасности понимается потенциальнаявозможность нарушения основных качеств или свойств информации – доступности,целостности и конфиденциальности. Основным типом угрозы информационнойбезопасности для данной фирмы можно считать несанкционированный доступ кинформации, относящейся к коммерческой тайне.

По способамвоздействия на объекты информационной безопасности угрозы, актуальные дляобщества, подлежат следующей классификации: информационные, программные,физические, организационно-правовые.

Кинформационным угрозам относятся:

· несанкционированныйдоступ к информационным ресурсам;

· хищениеинформации из архивов и баз данных;

· противозаконныйсбор и использование информации;

К программнымугрозам относятся:

· компьютерныевирусы и вредоносные программы;

К физическимугрозам относятся:

· уничтожениеили разрушение средств обработки информации и связи;

· хищениеносителей информации;

· воздействиена персонал;

Корганизационно-правовым угрозам относятся:

· закупкинесовершенных или устаревших информационных технологий и средствинформатизации;

Предприятие ООО «УК «Ашатли» может быть подвержено такиминформационным угрозам, таким как

· Взломубаз данных или несанкционированное использование коммерческой информации вцелях передачи данных конкурентам предприятия, что может отрицательно сказатьсяна деятельности предприятия и в крайнем случае привести к его разорению,ликвидации.

· Разглашениесотрудниками конфиденциальной информации, использование ее в корыстных целяхдля получения прибыли, т. к. многие служащие имеют доступ к базе данных 1СУправление торговлей.

· Сотрудникипредприятия могут умышленно или случайно повлиять на распространениеинформации, например по электронной почте, ICQ и по другим цифровымсредствам связи, что негативно может сказаться на репутации предприятия,поскольку они имеют доступ к сведениям организации.

· Однойиз самых распространенных угроз информационной безопасности являются сбои иотказы программного обеспечения, технических средств фирмы, посколькуоборудование зачастую даже самое новое дает сбои, также предприятию могутпоставить технически некачественное оборудование.

· На ООО «УК«Ашатли» может возникнуть ситуация несанкционированного физического доступа ктехническим средствам, являющимися источникам информации, также кража носителяс важной информацией (флешка, внешний жеский диск и т.д.) или только данных. Посути, это хищение интеллектуальной собственности через сеть или физическоехищение носителей.

· Однойиз немало важных информационных угроз являются ошибки персонала организации.Упущения в работе менеджеров, недобросовестное выполнение своих обязанностейконсультантами может привести к нарушению целостности информации, а также могутвозникнуть конфликтные ситуации с клиентами.

· Кугрозам программного обеспечения можно отнести различное вредоносное ПО, потеряпаролей, незащищенность используемого ПО, а также отсутствие системы резервногокопирования.

1.4 Меры, методы и средствазащиты информации, применяемые на предприятии

Законодательныйуровень защиты представляет собой совокупность законодательных актов в областиинформации и информационных технологий. К этому уровню относятся: КонституцияРФ, Гражданский кодекс РФ, Уголовный кодекс РФ, ФЗ «Об информации,информационных технологиях и защите информации» и др.

Административныйуровень защиты информации отражается в программе ИБ. Основой программы являетсяполитика ИБ – изданный документ (свод документов), который принимаетсяруководством организации и направлен на защиту информационных ресурсов даннойорганизации. В данной организации политика информационной безопасности неразработана и этот уровень защиты информации не представлен.

К используемым мерам процедурного уровня по защите информации в ООО «УК«Ашатли» можно отнести то, что проход в здании осуществляется только попредварительной договоренности, а так же в здании установлена сигнализация. Также заключёндоговор на охрану помещений с вневедомственной охраной.

Рассмотримсредства защиты информации, применяемые на предприятии. Всего их существуетчетыре (аппаратные, программные, смешанные, организационные).

· Аппаратныесредства защиты – замки, решетки на окнах, защитная сигнализация, сетевыефильтры, камеры видеонаблюдения.

· Программныесредства защиты: используются средства операционной системы, такие как защита,паролем, учетные записи.

· Организационныесредства защиты: подготовка помещений с компьютерами.

· Напрограммно-аппаратном уровне по защите информации применяются следующие меры:

o Использованиеантивирусной программы на всех компьютерах (ESET NOD32 Business EditionАнтивирусNOD 32)

o Использованиевстроенных средств Windows для авторизации пользователя компьютера.

o Использованиеспециальных логин / паролей для авторизации в базе 1С Управлениеторговлей.

/> 
2. Совершенствованиесистемы информационной безопасности

 

2.1 Недостатки в системе защиты информации

Некоторые из угроз информационной безопасности, такие какнесанкционированное получение доступа извне, некорректная работа программногообеспечения или технические сбои, достаточно успешно нейтрализуются грамотнойнастройкой и администрированием сети, однако мер для предотвращения внутреннихугроз не существует.

В процессе анализа существующей системы информационнойбезопасности в ООО «УК «Ашатли» были выделены следующие недостатки:

· Не полное использование функциональных возможностей 1С. Неполностью разграничены права доступа к данным в базе, а так же пароли неотвечают требованиям сложности или у некоторых сотрудников просто неиспользуются.

· Отсутствуют ограничения по форматам и размерам передаваемых данныхчерез интернет (*.mp3,*.avi,*.rar) для определенных сотрудников.

· Некоторые сотрудники хранят конфиденциальную информацию в общедоступныхпапках просто из-за собственной невнимательности, а так же хранят логин / парольот информационных систем требующих авторизации в легкодоступных местах нарабочем столе.

· Практически не охраняется информация на бумажных носителях, заисключением наиболее важной. (Кредитные договора, договора ренты, результатыпроверок и т.д.)

2.2 Цели и задач формирования системы ИБ на предприятии

Таким образом можно сделать вывод, что существует высокаяпотребность совершенствования существующей системы информационной безопасности.Так же необходимо тщательно оберегать клиентскую базу кампании, поскольку этоочень важная информация, которая не подлежит разглашению среди постороннихлюдей.

Сотрудники кампании зачастую не осознают, что от должнойорганизации целостности баз данных и документов, поддержание их в упорядоченномвиде напрямую зависит скорость деятельности фирмы и, следовательно, ееконкурентоспособность, а значит уровень их заработной платы.

Самую большую угрозу для функциональности электронной бухгалтериипредставляют различные вирусы, попадающие на компьютеры в сети через интернет,а так же возможность доступа в электронные справочники и документы постороннихлиц.

Цели защиты информации:

– предотвращение угроз безопасности предприятия вследствиенесанкционированных действий по уничтожению, модификации, искажению,копированию, блокированию информации или иных форм незаконного вмешательства винформационные ресурсы и информационных системах;

– сохранение коммерческой тайны, обрабатываемой сиспользованием средств вычислительной техники;

– защита конституционных прав граждан на сохранение личнойтайны и конфиденциальности персональных данных, имеющихся в информационныхсистемах.

Задачиформирования системы информационной безопасности в организации являются:целостность информации, достоверность информации и ее конфиденциальность. Привыполнении поставленных задач, цель будет реализована.


2.3 Предлагаемые мероприятия по совершенствованию системы защитыинформации на законодательном, административном, процедурном ипрограммно-аппаратном уровнях

Для устранения выявленных недостатков в системе информационнойбезопасности ООО «УК «Ашатли» предлагается ввести следующие меры:

На законодательном уровне никаких изменений по введению новых мерпо обеспечению информационной безопасности не намечено.

Необходимо ввести меры административного уровня в политикебезопасности фирмы. На административном уровне предлагается:

· Создать ряд инструкций по информационной безопасности внутри фирмыдля отдельных категорий работников (изменить и хранить пароли в недоступныхместах, запретить посещение сторонних ресурсов и т.д.).

· Предусмотреть ряд мотивационных мероприятий для заинтересованностисотрудников в соблюдении политики безопасности, а так же наказания за грубоенарушение политики безопасности фирмы. (премии и штрафы)

Для совершенствования системы безопасности на процедурном уровнепредлагается следующий ряд мер:

· Ограничить доступ посторонних людей в некоторые отделы фирмы.

· Провести ряд консультационных мероприятий с сотрудникамиорганизации по вопросам информационной безопасности и инструкциям по соблюдениюполитики безопасности.

На программно-аппаратном уровне предлагается ввести следующиемеры:

· Обязать всех сотрудников использовать пароли для доступа к базе 1Си более тщательно разграничить доступ к определенным данным базы (справочникам,документам и отчетам) всех сотрудников.

· Необходимо изменить все стандартные логины и пароли для доступа к ADSL-Роутеру, необходимо чтобпароли соответствовали уровню сложности.

· Ввести ограничения на передаваемые через интернет форматы иразмеры файлов отдельным сотрудникам, путем создания фильтров в ESET NOD32 Business Edition

Таким образом, мы определились с изменениями в существующейсистеме информационной безопасности ООО «УК «Ашатли». Среди этих измененийключевым является работа с персоналом, поскольку какие бы совершенныепрограммные средства защиты информации не внедрялись, тем не менее, всю работус ними осуществляет персонал и основные сбои в системе безопасности организациивызываются, как правило, персоналом. Правильно мотивированный персонал,нацеленный на результат деятельности – это уже половина того, что необходимодля эффективной деятельности любой системы.

 2.4Эффективность предложенных мероприятий

Самым главным преимуществом обновленной системы безопасности напредприятии ООО «УК «Ашатли» являются изменения в отношении персонала. Большинствопроблем в существовавшей системе безопасности вызывалось именно персоналом.

ПреимуществаиспользованияESET NOD32Business Edition:

o Масштабируемоерешение

o ориентированона предприятия от 5 до 100 000 ПК в рамках одной структуры

o устанавливаетсякак на сервер, так и на рабочие станции

o Современныетехнологии

o проактивнаязащита от неизвестных угроз

o применениеинтеллектуальных технологий, сочетающих эвристический и сигнатурный методыдетектирования

o обновляемоеэвристическое ядро ThreatSenseтм

o регулярноеавтоматическое обновление сигнатурных баз

o Фильтрацияпочтового и веб-контента

o полноесканирование всей входящей корреспонденции через протоколы POP3 и POP3s

o сканированиевходящей и исходящей электронной почты

o подробныйотчет по обнаруженным вредоносным программам

o полнаяинтеграция в популярные почтовые клиенты: Microsoft Outlook, Outlook Express,Windows Mail, Windows Live Mail, Mozilla Thunderbird и The Bat!.. Ограничениетипов и объемов, передаваемых и принимаемых через интернет сотрудниками файлов,во-первых, ограничит утечку какой-либо важной для организации информации, аво-вторых, снизит нагрузку на сеть интернет, поскольку каналы передачи данныхне будут заняты передачей посторонней информации.

o Централизованноеуправление

o Спомощью решения ESET Remote Administrator можно удаленноосуществлять инсталляцию и деинсталляцию программных продуктов ESET, контролировать работуантивирусного ПО, создавать внутри сети серверы для локального обновленияпродуктов ESET («зеркала»), позволяющие существенно сокращать внешнийинтернет-трафик.

o Удобные отчеты

o ESET NOD32 Business Edition автоматически формирует отчет по обнаруженныминфицированным объектам, отправленным в карантин, по динамике угроз, событиям,проверкам, задачам, можно сформировать различные комбинированные отчеты и т.д.Возможна отправка предупреждений и сообщений через протокол SMTP или посредствомменеджера сообщений.

Качественная антивирусная и сетевая защита позволит избежатьнарушений в работе компьютеров, особенно это важно для рабочих мест менеджерови консультантов. Такие улучшения коснутся надежности работы кампании какделового партнера для многих заказчиков, что благотворно повлияет на имиджкампании, а так же на ее доходы. Автоматическое резервное копированиеинформации позволит обеспечить ее целостность и сохранность, а архивированиеобеспечит возможность быстрого восстановления ее в необходимых ситуациях./>


3. Модель информационной безопасности

Представленнаямодель информационной безопасности – это совокупность объективных внешних ивнутренних факторов и их влияние на состояние информационной безопасности наобъекте и на сохранность материальных или информационных ресурсов. В качествеобъектов рассматриваются материально-технические средства, персональные данные,документы.

/> /> /> /> /> /> /> <td/> /> />  

Заключение

В процессевыполнения курсового проекта был проведен анализ средств информационнойбезопасности предприятия ООО «УК «Ашатли». Был произведен анализинформационных ресурсов предприятия, анализ угроз ИБ, и были выявленысоответствующие недостатки.

Выполнениепредложенных мер по устранению недостатков позволит предприятию повыситьэффективность средств защиты и сократить риск потери информации. Следуетотметить, что процесс организации или реорганизации информационной безопасностиэто комплексный процесс, в котором взаимодействуют одновременно программы,персонал и техника.

Для решенияпроблемы обеспечения информационной безопасности необходимо применениезаконодательных, организационных и программно-технических мер, что позволитполностью ликвидировать ее.


/>Список использованной литературы

1.  Маклаков С.В. Созданиеинформационных систем с AllFusion Modeling Suite. – М.: Диалог-МИФИ, 2003. –432 с.

2.  www.ashatli-agro.ru

3.  Федеральный закон №231-Ф«Об информации, информационных технологиях и о защите информации» от18.12.2006.

4.  Федеральный законРоссийской Федерации от 27 июля 2006 г. №149-ФЗ «Об информации,информационных технологиях и о защите информации»

еще рефераты
Еще работы по информатике, программированию