Анализ информационной безопасности на предприятии ООО "Вист и Ко"

Недостатком аппаратных средств является их высокая стоимость.

Программные средства защиты – это специальные программы и программные комплексы, предназначенные для защиты информации. Программные средства защиты информации являются наиболее распространенным видом защиты, обладая следующими положительными свойствами: универсальностью, гибкостью, простотой реализации, возможностью изменения и развития. Основной их недостаток – это доступность для хакеров, особенно это касается широко распространенных на рынке средств защиты.

Криптографические программы основаны на использовании методов шифрования (кодирования) информации. Такие методы очень надежны и значительно повышают безопасность передачи информации в сетях.

Аппаратно-программные средства защиты – средства, в которых программные (микропрограммные) и аппаратные части полностью взаимосвязаны и неразделимы. Они совмещают высокую производительность аппаратно реализованных систем и гибкость настройки программных. В качестве примера такого устройства можно привести маршрутизаторы фирмы Cisco, которые допускают их настройку в качестве пакетных фильтров.

Организационные средства – это действия общего характера, предпринимаемые руководством организации. Они регламентируют процессы функционирования и использование ресурсов системы обработки данных, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности, а в случае их реализации снизить размер потерь.

Организационные меры включают в себя:

- мероприятия, осуществляемые  при подборе и подготовке персонала;

- мероприятия, осуществляемые  при проектировании, строительстве  и оборудовании сетей;

- организацию  охраны и надежного пропускного  режима; разработку политики безопасности;

- распределение  реквизитов разграничения доступа; организацию учета, хранения, использования  и уничтожения документов и  носителей с информацией;

- мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т.п.

Организационные меры нужны для того, чтобы обеспечить эффективное применение других мер и средств защиты в части, касающейся регламентации действий людей. В то же время организационные меры необходимо поддерживать более надежными техническими и физическими средствами.

Законодательные средства - действующие в стране законы, указы и другие нормативно-правовые акты, которые регламентируют правила обращения с информацией, закрепляют права и обязанности участников информационных отношений, а также устанавливают ответственность за нарушение этих правил. Правовые меры защиты носят преимущественно упреждающий, профилактический характер. Основной целью их является предупреждение и сдерживание потенциальных нарушителей.

Морально-этические средства - всевозможные нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации. Морально-этические нормы могут быть как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и оформленные в некоторый свод правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах пользователей.

Законодательные и морально-этические меры определяют правила обращения с информацией и ответственность субъектов информационных отношений за их соблюдение. Они являются универсальными, так как могут применяться для всех каналов проникновения и НСД к информации. В некоторых случаях они могут быть единственно применимыми, как например, при защите открытой информации от незаконного тиражирования или при защите от злоупотреблений служебным положением при работе с информацией.

Все рассмотренные средства защиты разделяются на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) и неформальные (определяемые целенаправленной деятельностью человека либо регламентирующие эту деятельность).

Единая совокупность всех этих мер, направленных на противодействие угрозам безопасности с целью сведения к минимуму возможности ущерба, образуют систему защиты.

Надежная и безопасная система защиты должна соответствовать следующим требованиям:

- стоимость средств  защиты должна быть меньше, чем  размеры возможного ущерба;

- каждый пользователь  должен иметь минимальный набор  привилегий, необходимый для работы;

- защита тем  более эффективна, чем проще пользователю  с ней работать;

- возможность отключения в экстренных случаях;

- специалисты, имеющие  отношение к системе защиты  должны полностью представлять  себе принципы ее функционирования  и в случае возникновения затруднительных ситуаций адекватно на них реагировать;

- под защитой  должна находиться вся система обработки информации;

- разработчики  системы защиты, не должны быть  в числе тех, кого эта система будет контролировать;

- система защиты  должна предоставлять доказательства  корректности своей работы;

- лица, занимающиеся  обеспечением информационной безопасности, должны нести личную ответственность;

- объекты защиты  целесообразно разделять на группы  так, чтобы нарушение защиты в одной из групп не влияло на безопасность других;

- надежная система  защиты должна быть полностью  протестирована и согласована;

- защита становится  более эффективной и гибкой, если  она допускает изменение своих параметров со стороны администратора;

- система защиты  должна разрабатываться, исходя  из предположения, что пользователи  будут совершать серьезные ошибки  и, вообще, имеют наихудшие намерения;

- наиболее важные  и критические решения должны  приниматься человеком;

- существование  механизмов защиты должно быть по возможности скрыто от пользователей, работа которых находится под контролем.

1.4 Основы законодательства РФ в области информационной безопасности и защиты информации

Национальные интересы России в информационной сфере заключаются в соблюдении конституционных прав и свобод граждан в области получения информации и пользования ею, в развитии современных телекоммуникационных технологий, в защите государственных информационных ресурсов от несанкционированного доступа.

Для достижения этого осуществляется:

• обеспечение конституционных прав и свобод человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, защиты своей чести и своего доброго имени;
• развитие современных информационных технологий, отечественной индустрии информации;
• повышение безопасности информационных систем федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, а также систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами;
• защита информационных ресурсов от несанкционированного доступа.
• развитие отечественного производства аппаратных средств защиты информации;
• защита сведений, составляющих государственную тайну.

Информационная безопасность Российской Федерации является одной из составляющих безопасности Российской Федерации в сферах жизнедеятельности общества и государства.

Основным направлением международного сотрудничества Российской Федерации в области обеспечения информационной безопасности является предотвращение несанкционированного доступа к конфиденциальной информации в международных банковских телекоммуникационных сетях и системах информационного обеспечения мировой торговли, к информации международных правоохранительных организаций, ведущих борьбу с транснациональной организованной преступностью, международным терроризмом, распространением наркотиков и психотропных веществ, незаконной торговлей оружием и расщепляющимися материалами, а также торговлей людьми.

В Концепции национальной безопасности особое значение для обеспечения национальной безопасности Российской Федерации придается использованию возможностей разведки и контрразведки в целях своевременного обнаружения угроз и определения их источников.

В целях охраны и защиты прав и свобод в информационной сфере Конституция РФ устанавливает гарантии, обязанности, механизмы защиты и ответственности.

Наряду с нормами Конституции РФ источниками права о доступе к информации являются:

• законы (Основы законодательства о культуре, Основы законодательства РФ об Архивном фонде и архивах; федеральные законы «Об информации, информатизации и защите информации», «О порядке опубликования и вступления в силу федеральных конституционных законов, федеральных законов, актов палат Федерального Собрания», «О библиотечном деле», «Об участии в международном информационном обмене» и др.);
• подзаконные нормативные акты (указы Президента РФ, постановления Правительства РФ);
• международные правовые акты, международные договоры и соглашения;
• судебная практика.

Важной сферой безопасности информации является защита прав собственности на нее. Федеральным законом «Об информации, информатизации и защите информации» определено, что информационные ресурсы, т. е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектами отношений физических, юридических лиц и государства, подлежат обязательному учету и защите как материальное имущество собственника.

1.5 Исследование утечек информации и конфиденциальных данных из компаний в Ι полугодии 2013 года

Всестороннее исследование утечек конфиденциальной информации позволяет оценить уровень защищенности информации от утечек в коммерческих компаниях, государственных организациях, образовательных учреждениях.

Аналитический Центр компании InfoWatch представляет отчет об исследовании утечек конфиденциальной информации в I полугодии 2013 года.

Исследование основывается на собственной базе данных, которая пополняется специалистами Центра с 2004 года. В базу InfoWatch включаются утечки, которые произошли в организациях в результате злонамеренных или неосторожных действий сотрудников и были обнародованы в СМИ или других открытых источниках.

За I полугодие 2013 года Аналитическим Центром InfoWatch зарегистрировано 496 (2,7 в день, 82,6 в месяц) случаев утечки конфиденциальной информации. Это на18% больше, чем за аналогичный период 2012 года (419 утечек). Рост количества утечек представлен на рисунке 1.

Рисунок 1 - Количество утечек информации, 2006 - ½ 2013 г.

 

Рост количества утечек традиционно связывают с повышенным вниманием регуляторов, государства, СМИ и других заинтересованных сторон к проблеме безопасности данных. Данный фактор актуален и для России. По сравнению с аналогичным периодом 2012 года, число «российских» утечек в первом полугодии 2013 выросло на 27%. Зарегистрировано 42 случая утечки информации из российских компаний и госорганов.

Рассмотрим распределение утечек по каналам за ½ 2012 - ½ 2013 гг., рисунок 2.

Рисунок 2 - Распределение утечек по каналам, ½ 2012 - ½ 2013 гг.

 

По итогам I полугодия 2013 года доля утечек через сеть (использование браузера для передачи информации, компрометация данных вследствие ошибочной публикации в веб), выросла почти вдвое (11,7% против 6,7% в первом полугодии 2012 г.). Утечки через электронную почту составляют 7,7% (что наполовину превышает долю утечек через e-mail за аналогичный период 2012 г.).

Растет доля утечек, связанных с бумажными документами (до 25,4% или на 4,4 п. п.), незначительно колеблется доля утечек через мобильные устройства (потеря и кража смартфонов, планшетов). Такая низкая доля утечек через мобильные устройства объясняется, во-первых, тем, что люди не используют мобильные для хранения информации, продолжая по инерции пользоваться разными другими накопителями информации, включая бумажные. Во-вторых, рискнем предположить, что мобильные устройства довольно плохо контролируются предприятиями, а посему утечки с них остаются нераскрытыми и неизвестными.

Наблюдается снижение доли канала «кража/потеря оборудования» на 5 п. п. при том, что с 2013 года мы относим к утечкам по этому каналу не только случаи компрометации данных при краже или сервисном обслуживании ПК, серверов, другого оборудования (в т. ч. СХД), но и компрометацию информации при потере ноутбуков.

Уровень защищенности информации в мире (в том числе персональных данных) все еще очень низок. Распространение систем мониторинга и предотвращения утечек, противодействия внутренним угрозам позволяет в какой-то мере сгладить ситуацию в отдельных отраслях (банки и финансы, ИТ и телеком). Однако для остальных отраслевых вертикалей положение дел с защитой информации нельзя считать удовлетворительным.

2 Анализ информационной безопасности  предприятия ООО «Вист и Ко»

2.1 Краткая характеристика предприятия

Общество с ограниченной ответственностью "Вист и Ко" во главе директора Лантратова О.И действующего на основании Устава зарегистрировано Постановлением Главы Администрации г. Шахты Ростовской обл. №674 от 21.08.1992г.