Анализ информационной безопасности на предприятии ООО "Вист и Ко"

 

 

Оглавление

 

 

Введение

Обеспечение собственной информационной безопасности на предприятиях, как правило, является неотъемлемой частью общей системы управления, необходимой для достижения уставных целей и задач. Значимость систематической целенаправленной деятельности по обеспечению информационной безопасности становится тем более высокой, чем выше степень автоматизации бизнес-процессов предприятия и чем больше "интеллектуальная составляющая" в его конечном продукте. Обеспечение информационной безопасности имеет большое значение не только для стратегического развития предприятия и создания основного продукта, но и для отдельных (иногда вспомогательных) направлений деятельности и бизнес-процессов, таких как коммерческие переговоры и условия контрактов, ценовая политика и т.п.

Актуальность проблемы защиты информации сегодня не вызывает сомнений. Любое предприятие располагает различными видами информации, представляющими интерес для злоумышленников. Прежде всего, это коммерческие данные, информация, являющаяся интеллектуальной собственностью предприятия и конфиденциальные данные. Успех современной компании и ее развитие в условиях острой конкуренции в значительной степени зависят от применения информационных технологий, а следовательно, и от степени обеспечения информационной безопасности.

Цель работы - анализ системы информационной безопасности на предприятии ООО «Вист и Ко».

В соответствии с целью были разработаны следующие задачи:

1. Провести анализ информационной безопасности предприятия ООО «Вист и Ко»;
2. Выявить риски информационных угроз по обеспечению безопасности;
3. Предложить мероприятия по совершенствованию информационной безопасности.

 

1 Основы информационной безопасности

1.1 Понятие информационной безопасности

Понятие «безопасность» весьма широко и многообразно и покрывает самые разные сферы деятельности, начиная с экономической безопасности и заканчивая вопросами физической защиты персонала и охраны зданий и сооружений. Среди комплекса направлений деятельности присутствует и группа задач, связанная с обеспечением безопасности информационных ресурсов организации и относимая, в соответствии с устоявшейся практикой, к понятию «информационная безопасность».

Под информационной безопасностью понимается защищенность информации от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации.

Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена.

Любая система защиты информации имеет свои особенности и в то же время должна отвечать общим требованиям. Общими требованиями к системе защиты информации являются следующие:

1. Система защиты информации должна быть представлена как нечто целое. Целостность системы будет выражаться в наличии единой цели ее функционирования, информационных связей между ее элементами, иерархичности построения подсистемы управления системой защиты информации.
2. Система защиты информации должна обеспечивать безопасность информации, средств информации и защиту интересов участников информационных отношений.
3. Система защиты информации в целом, методы и средства защиты должны быть по возможности «прозрачными» для пользователя, не создавать ему больших дополнительных неудобств, связанных с процедурами доступа к информации и в то же время быть непреодолимыми для несанкционированного доступа злоумышленника к защищаемой информации.
4. Система защиты информации должна обеспечивать информационные связи внутри системы между ее элементами для согласованного их функционирования и связи с внешней средой, перед которой система проявляет свою целостность и поступает как единое целое.

Таким образом, обеспечение безопасности информации, в том числе в компьютерных системах, требует сохранения следующих ее свойств:

1. Целостность. Целостность информации заключается в ее существовании в неискаженном виде, не измененном по отношению к некоторому ее исходному состоянию.

2. Доступность. Это свойство, характеризующее способность обеспечивать своевременный и беспрепятственный доступ пользователей к интересующим их данным.

3. Конфиденциальность. Это свойство, указывающее на необходимость введения ограничений на доступ к ней определенного круга пользователей.

Под угрозой безопасности понимается возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику или пользователю, проявляющегося в опасности искажения, раскрытия или потери информации. Реализация той или иной угрозы безопасности может производиться с целью нарушения свойств, обеспечивающих безопасность информации.

1.2 Особенности защиты информации в компьютерных сетях

Многие организации используют средства ЛВС для обеспечения нужд обработки и передачи данных. До использования ЛВС основная часть обработки и обмена данными была централизована; информация и управление ею были сосредоточены в одном месте и централизованы. Сейчас ЛВС логически и физически рассредоточили  данные, а также вычислительную мощность и службы обмена сообщениями по всей организации.

Службы безопасности, защищающие данные, а также средства по их обработке и передаче, также должны быть распределены по всей ЛВС. Например, посылка конфиденциального файла, который защищен с помощью сильной системы управления доступом в некоторой ЭВМ через ЛВС в другую ЭВМ без системы управления доступом делает бесполезными усилия первой ЭВМ. Пользователи должны быть уверены в том, что их данные и ЛВС адекватно защищены. Защита ЛВС должна быть интегрирована во всю ЛВС и должна быть важной для всех пользователей.

Электронная почта, важнейшее приложение, обеспечиваемое большинством ЛВС, заменила обычную почту при обмене сообщениями между отделами как одной, так и разных организаций, которая традиционно использовала записи на бумаге, помещенные в конверт. Эти конверты обеспечивают конфиденциальность между отправителем и получателем, и кроме того, в случае целостности бумаги конверта, обеспечивают получателя высокой степенью уверенности в том, что послание не было подменено. Использование электронной почты не обеспечивает этих гарантий. Простая передача по незащищенной ЛВС неадекватно защищает сообщения электронной почты, которые могут быть перехвачены и прочтены или возможно даже подменены. Для многих ЛВС характерно, что отсутствуют гарантии того, что сообщение действительно послано названным отправителем. К счастью, существуют средства, такие, как шифрование, цифровая подпись и коды аутентификации сообщений, которые помогают решить проблемы и обеспечить гарантии.

Не смотря на явные преимущества обработки информации в компьютерных сетях, возникает немало сложностей при организации их защиты:

- расширенная зона контроля - следовательно, администратору отдельной подсети приходится контролировать деятельность пользователей, которые находятся вне пределов его досягаемости;

- неизвестный периметр - сети легко расширяются, и это ведет к тому, что определить четкие границы сети часто бывает сложно, один и тот же узел может быть доступен для пользователей различных сетей;

- использование разнообразных программно-аппаратных средств - соединение нескольких систем в сеть увеличивает уязвимость всей системы в целом, так как каждая система настроена на выполнение своих требований безопасности, которые могут оказаться несовместимы с требованиями на других системах;

- сложность в управлении и контроле доступа к системе - многие атаки на сеть могут осуществляться из удаленных точек без получения физического доступа к определенному узлу. В таких случаях идентификация нарушителя, как правило, бывает очень сложной;

- множество точек атаки - один и тот же набор данных в сетях может передаваться через несколько промежуточных узлов, причем, каждый из этих узлов является возможным источником угрозы. Кроме этого, к большинству сетей можно получить доступ с помощью коммутируемых линий связи и модема, что сильно увеличивает количество возможных точек атаки. Такой способ очень легко осуществить и столь же трудно проконтролировать, поэтому он считается одним из самых опасных. Уязвимыми местами сети также являются линии связи и различные виды коммуникационного оборудования: усилители сигнала, ретрансляторы, модемы и т. д.

Суть проблемы защиты сетей обусловлена их двойственным характером. С одной стороны, сеть - это единая система с едиными правилами обработки информации, а с другой, - совокупность отдельных систем, каждая из которых имеет свои собственные правила обработки информации.

1.3 Классификация методов и средств обеспечения безопасности

Метод (способ) защиты информации: порядок и правила применения определенных принципов и средств защиты информации.

Для организации защиты информации в компьютерных сетях важным вопросом является классификация методов и средств защиты, которые позволяют воспрепятствовать ее использованию.

Методами обеспечения защиты информации являются следующие: регламентация, препятствие, маскировка информации, противодействие вирусам, управление доступом, принуждение и побуждение.

Препятствие - это метод, при котором пути злоумышленнику к защищаемой информации преграждаются физически, например, к аппаратуре, носителям информации и т.п.

Регламентация заключается в реализации системы организационных мероприятий, которые определяют все стороны процесса обработки информации. Этот метод создает такие условия автоматизированной обработки, передачи и хранения информации, при которых возможность несанкционированного доступа к ней сводится к минимуму.

Управление доступом – этот метод защиты информации регулирует использование всех ресурсов автоматизированной информационной системы организации (технические, программные, временные и др.) и включает следующие функции защиты:

- идентификацию  пользователей, персонала и ресурсов  информационной системы, то есть  присваивает каждому объекту  персональный идентификатор;

- аутентификацию, то есть устанавливает подлинность  объекта или субъекта по предъявленному им идентификатору;

- регистрацию  или, говоря другими словами, протоколирование  обращений к защищаемым ресурсам;

- проверку полномочий, таких как проверка соответствия  дня недели, времени суток, запрашиваемых ресурсов и процедур в соответствии с установленным регламентом;

- разрешение  и создание условий работы  в пределах установленного регламента;

- реагирование  при попытках несанкционированных  действий (сигнализация, отключение, задержка работ, отказ в запросе).

Маскировка информации - метод защиты информации путем ее криптографического закрытия. Механизмы шифрования все шире применяются при обработке и хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности только этот метод является единственно надежным.

Противодействие вирусам (или атакам вредоносных программ) предполагает комплексное использование организационных мер и антивирусных программ. Целью принимаемых мер является уменьшение вероятности инфицирования информационно-вычислительной системы, уменьшение последствий информационных инфекций, локализация или уничтожение вирусов, восстановление информации.

Принуждение - такой метод защиты информации, при котором пользователей и персонал системы вынуждают соблюдать правила обработки, использования и передачи защищаемой информации под угрозой административной, материальной или уголовной ответственности.

Побуждение - такой метод защиты информации, который за счет соблюдения сложившихся моральных и этических норм побуждает пользователей системы не нарушать установленные правила.

Указанные методы обеспечения информационной безопасности реализуются на практике применением различных механизмов защиты, для создания которых используются следующие основные средства: физические, аппаратные, программные, аппаратно-программные, организационные, морально-этические и законодательные.

Физические средства защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информационной системы предприятия и включают в себя разнообразные инженерные устройства и сооружения, которые препятствуют проникновению злоумышленников на объекты защиты. Примером физических средств могут служить замки на дверях, средства электронной охранной сигнализации, решетки на окнах и т.д.

Аппаратные средства защиты – это электронные, электромеханические и другие устройства, непосредственно встроенные в вычислительную технику или самостоятельные устройства, которые сопрягаются с ней по стандартному интерфейсу. Они предназначены для внутренней защиты структурных элементов средств и систем вычислительной техники: терминалов, процессоров, периферийного оборудования, линий связи и т.д. Такие средства принадлежат к наиболее защищенной части системы. Если есть выбор, то предпочтение следует отдавать аппаратным средствам защиты, так как они исключают вмешательство в их работу непосредственно из сети. Еще одно преимущество аппаратных средств – это их большая производительность по сравнению с программными средствами защиты, особенно, при использовании их в устройствах криптографической защиты.