Контрольная работа Хазиева С.Ф. ЭПО-19бзу. Контрольная работа по дисциплине Информационная безопасность предприятия на тему Система защиты информации ооо Умный Ритейл студент гр. Эпо19бзу
Скачать 153 Kb.
|
Федеральное государственное бюджетное образовательное учреждение высшего образования «Пермский национальный исследовательский политехнический университет» Электротехнический факультет Кафедра «Автоматика и телемеханика» КОНТРОЛЬНАЯ РАБОТА по дисциплине «Информационная безопасность предприятия» на тему Система защиты информации ООО «Умный Ритейл»
Пермь, 2021___ СОДЕРЖАНИЕ
Актуальность защиты информации на предприятии Актуальность проблемы защиты информации сегодня не вызывает сомнений. Успех современной компании и ее развитие в условиях острой конкуренции в значительной степени зависят от применения информационных технологий, а следовательно, от степени обеспечения информационной безопасности. Появление новых информационных технологий и развитие мощных компьютерных систем хранения и обработки информации повысили уровни защиты информации и вызвали необходимость в том, чтобы эффективность защиты информации росла вместе со сложностью архитектуры хранения данных. Так постепенно защита экономической информации становится обязательной: разрабатываются всевозможные документы по защите информации; формируются рекомендации по защите информации; даже проводится ФЗ о защите информации, который рассматривает проблемы защиты информации и задачи защиты информации, а также решает некоторые уникальные вопросы защиты информации. На сегодняшний день существует широкий круг систем хранения и обработки информации, где в процессе их проектирования фактор информационной безопасности Российской Федерации хранения конфиденциальной информации имеет особое значение. К таким информационным системам можно отнести, например, банковские или юридические системы безопасного документооборота и другие информационные системы, для которых обеспечение защиты информации является жизненно важным для защиты информации в информационных системах. Таким образом, угроза защиты информации сделала средства обеспечения информационной безопасности одной из обязательных характеристик информационной системы. Перечень конфиденциальных сведений 1. ПРОИЗВОДСТВО 1.1. Сведения о структуре производства, производственных мощностях, типе и размещении оборудования, запасах сырья, материалов, комплектующих и готовой продукции. 2. УПРАВЛЕНИЕ 2.1. Сведения о применяемых оригинальных методах управления предприятием. 2.2. Сведения о подготовке, принятии и исполнении отдельных решений руководства предприятия по коммерческим, организационным, производственным, научно-техническим и иным вопросам. 3. ПЛАНЫ 3.1. Планы развития предприятия. 3.2. Сведения о планах предприятия по расширению производства и другие коммерческие замыслы. 3.3. План производства и перспективный план. 3.4. Планы инвестиций предприятия. 3.5. Планы запасов и готовой продукции. 3.6. Планы закупок и продаж. 3.7. Планово-аналитические материалы за текущий период. 3.8. Объем предстоящих покупок по срокам, ассортименту, ценам, странам, фирмам. 3.9. Сведения о планах предприятия (организации) по расширению производства (кроме оговариваемых в переговорах). 3.10. Сводные сведения об эффективности экспорта или импорта товаров в целом по внешнеэкономической организации. 4. СОВЕЩАНИЯ 4.1. Сведения о фактах проведения, целях, предмете и результатах совещаний и заседаний органов управления предприятия. 5. ФИНАНСЫ 5.1. Сведения о балансах предприятия. 5.2. Сведения, содержащиеся в бухгалтерских книгах предприятия. 5.3. Сведения об обороте средств предприятия. 5.4. Сведения о финансовых операциях предприятия. 5.5. Сведения о состоянии банковских счетов предприятия и производимых операциях. 5.6. Сведения об уровне доходов предприятия. 5.7. Сведения о долговых обязательствах предприятия. 5.8. Сведения о состоянии кредита предприятия (пассивы и активы). 6. РЫНОК 6.1. Сведения о применяемых предприятием оригинальных методах изучения рынка. 6.2. Сведения о результатах изучения рынка, содержащие оценку состояния и перспектив развития рыночной конъюнктуры. 6.3. Сведения о рыночной стратегии предприятия. 6.4. Сведения о применяемых предприятием оригинальных методах осуществления продаж. 6.5. Сведения об эффективности коммерческой деятельности предприятия. 6.6. Сведения о времени выхода на рынок при закупках (продажах) товаров и выборе фирм для ведения коммерческих переговоров. 7. ПАРТНЕРЫ 7.1. Систематизированные сведения о внутренних и зарубежных заказчиках, подрядчиках, поставщиках, потребителях, покупателях, компаньонах, спонсорах, посредниках, клиентах и других партнерах деловых отношений предприятия, а также о его конкурентах, которые не содержатся в открытых источниках (справочниках, каталогах и др.). 8. ПЕРЕГОВОРЫ 8.1. Сведения о подготовке и результатах проведения переговоров с деловыми партнерами предприятия. 9. КОНТРАКТЫ 9.1. Сведения, условия конфиденциальности которых установлены в договорах, контрактах, соглашениях и других обязательствах предприятия. 10. ЦЕНЫ 10.1. Сведения о методах расчета, структуре, уровне цен на продукцию и размерах. 11. НАУКА И ТЕХНИКА 11.1. Сведения о состоянии программного и компьютерного обеспечения. 12. ТЕХНОЛОГИЯ 12.1. Сведения об особенностях используемых и разрабатываемых технологий и специфике их применения. 13. БЕЗОПАСНОСТЬ 13.1. Сведения о структуре, составе, материально-техническом состоянии. 13.2. Сведения о порядке и состоянии организации охраны, пропускном режиме, системе сигнализации. 13.3. Сведения, составляющие коммерческую тайну предприятий-партнеров и переданные на доверительной основе. Анализ угроз информационной безопасности и оценка рисков предприятия В течение последних нескольких лет информация стала играть важнейшую роль во всех сферах человеческой жизни. Информация превращается в ценнейший вид продукции, суммарная стоимость которой в недалеком будущем должна превзойти суммарную стоимость продуктов материального производства. Ввиду этих произошедших в экономике изменений, информация, информационные технологии и появившийся рынок информационных услуг требуют к себе пристального внимания и изучения, поскольку очевидно, что вследствие владения, использования и передачи ценной и важной информации, может возникать ряд рисков, способных нанести ощутимый урон компании, государству и экономике в целом. У компании ООО «Умный Ритейл» как и у любой корпорации есть секреты производства, данные об уникальных инновациях, интеллектуальной собственности, базы данных клиентов, партнеров, поставщиков, сотрудников, на которых базируется весь производственный процесс, и попадание этих данных в руки конкурентам или иным недоброжелателям – серьезно угрожает состоянию и функционированию компании. В январе 2018 года на Всемирном экономическом форуме в Давосе был представлен «Отчет о глобальных рисках для человечества 2018». Из отчета следует, что значимость рисков информационной безопасности возрастает как в связи с увеличением количества реализованных атак, так и с учетом их разрушительного потенциала. Для анализа рисков организации ООО «Умный Ритейл» применяют такие стандарты, как, ГОСТ ИСО/МЭК 27001, ИСО/МЭК 15408, FERMA: 2002, COSO:2004, ISO 31000: 2009 и другие. Риски информационной безопасности входят в тройку наиболее вероятных рисков (вместе с рисками природных катаклизмов и экстремальных погодных условий) и в список из шести наиболее критичных рисков по возможному ущербу (вместе с рисками применения оружия массового поражения, природными катаклизмами, погодными аномалиями и нехваткой питьевой воды). Поэтому управление рисками информационной безопасности на предприятии ООО «Умный Ритейл» является одним из приоритетных направлений развития организации. Риск – это возможность того, что произойдет определенное неблагоприятное событие, имеющее свой размер ожидаемого ущерба и вероятность наступления, это событие, которое может оказать отрицательное или положительное влияние. Риск имеет вероятность. Если «нечто» гарантированно должно случиться — то это нельзя называть риском, это данность, которую мы должны учесть в ходе планирования бюджета организации. Неопределённость. Эта характеристика означает, что риск существует только тогда, когда есть различные варианты развития событий. Они могут осуществиться, а могут и нет. Риск – влияние неопределенности на цели. Второе ключевое понятие для модели безопасности информационно образовательной среды в ООО «Умный Ритейл» – это понятие угрозы. Под угрозой будем понимать потенциально возможное событие, которое может привести к нанесению ущерба компании. Риск определяет степень опасности воздействия угрозы на систему. Для каждой информационно-образовательной среды существуют риски, реализация которых приведет информационную среду в неработоспособное состояние или в состояние, в котором эффективность работы среды будет существенно снижена. Для каждого риска есть некоторый набор угроз, и процедура управления рисками на предприятии ООО «Умный Ритейл» происходит постепенно шаг за шагом (рис. 1). Часть из этих угроз являются актуальными. Актуальными угрозами считается те угрозы, которые имеют высокую степень опасности воздействия на систему предприятия. Риск в менеджменте любой организации это, в первую очередь, процесс комплексной оценки степени защищенности информационной системы с переходом к качественным или количественным показателям рисков. Риск рассматривается как вероятный ущерб, который зависит от степени защищенности информационной системы. То есть это скоординированные действия по руководству и управлению в отношении риска с целью его минимизации. (стандарт ISO 17799) Процесс управление рисками на предприятии ООО «Умный Ритейл» имеет ряд этапов: Идентификация рисков; Оценка вероятности наступления неблагоприятных событий; Определение структуры предполагаемого ущерба; Ранжирование рисков; Принятие решения по рискам и разработка плана реагирования на риски. 1 этап. Этот этап риск-анализа заключается в формировании полного перечня неблагоприятных событий, которые влекут за собой негативные изменения. 2 этап. При оценке вероятности производится анализ вероятности реализации риска. Оценка данных параметров базируется на выявлении и анализе уязвимостей, присущим ИТ-активам, на которые влияет риск, и угрозам, реализация которых возможная посредством эксплуатации данных уязвимостей. Также в зависимости от используемой методики оценки рисков, в качестве исходных данных для их оценки используется модель злоумышленника, информация о бизнес-процессах организации и других сопутствующих реализации риска факторах, таких как политическая, экономическая, рыночная и социальная ситуация в среде деятельности организации. При оценке рисков используется качественный, количественный и смешанный подход к их оценке. Преимуществом качественного подхода является его простота, минимизация сроков и трудозатрат на проведение оценки рисков, ограничениями – недостаточная наглядность и сложность использования результатов анализа рисков для экономического обоснования и оценки целесообразности инвестиций в меры реагирования на риски. Преимуществом количественного подхода является точность оценки рисков, наглядность результатов и возможность сравнения значения риска, выраженного в деньгах, с объемом инвестиций, необходимых для реагирования на данный риск, недостатками – сложность, высокая трудоемкость и длительность исполнения. 3 этап. При оценке ущерба определяется степень влияния риска на ИТ-активы организации и поддерживаемые ими бизнес-процессы. 4 этап. Для определения приоритета при реагировании на риски и последующей разработки плана реагирования все риски проранжированы. При ранжировании рисков, в зависимости от используемой методики, применяются такие критерии определения критичности, как ущерб от реализации рисков, вероятность реализации, ИТ-активы и бизнес-процессы, затрагиваемые риском, общественный резонанс и репутационный ущерб от реализации риска и др. 5 этап. Этот этап заключается в установлении перечня возможных методов воздействия на риск. Такие методы разделяются на группы: методы, позволяющие избежать риска; методы, которые снижают вероятность возникновения неблагоприятного события; методы, уменьшающие возможный ущерб; методы, суть которых сводится к передаче риска другим объектам; Предотвращение риска: рассмотрение способов устранения угрозы, изменения процесса деятельности таким образом, чтобы угроза больше не была применима. Когда идентифицированные риски считаются слишком высокими, принимается решение о полном прекращении или отказе от планируемой деятельности. Перенос риска: перенос риска на третью сторону, которая может взять на себя риск, как, допустим, страховые компании, или через передачу функций поставщикам сетевых решений или службам управления безопасностью, аутсорсинг. Перенос риска создает новые риски, а иногда модифицирует существующие идентифицированные риски, поэтому есть необходимость в дополнительной обработке риска. Снижение риска: применение соответствующих средств контроля для снижения риска. В целом каждое средство контроля имеет возможность обеспечивать один или несколько из следующих видов защиты: предупреждение, сдерживание, обнаружение, снижение, восстановление, исправление, мониторинг и информированность. Принятие риска: принятие решения в отношении всего оставшегося риска. Организация ООО «Умный Ритейл» должна прийти к решению о принятии риска на основе критериев принятия. Это решение вытекает из двух причин. Первой причиной является успешное снижение риска, т. е. остаточный риск после реализации средств контроля не превышает критериев для принятия риска. Второй причиной является сохранение риска, т. е., даже если остаточный риск превышает критерии, руководство организации выносит решение о принятии риска, принимая в расчет различные условия, такие как бюджет, временные ограничения и т. д. Рис 1 – Процедура управления рисками Подготовка отчета по анализу рисков, ревизия План обработки рисков Актуализация существующих рисков и планов Выполнение планов по управлению рисками Разработка планов обработки рисков Разработка планов по предупреждению и реагированию на риски Определение методов управления рисками Формулировка рисков Мониторинг управление рисками Планирование управления рисками Идентификация потенциальных угроз и уязвимостей Определение риска и его категории Контроль выполнения планов по управлению рисками Мониторинг рисков Идентификация рисков Идентификация и классификация ИБ Определение степени воздействия риска Определение вероятности реализации риска (угрозы) Анализ и оценка рисков Правовая защита информации на предприятии 1. Защита информации на предприятии ООО «Умный Ритейл» представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации. 2. Государственное регулирование отношений в сфере защиты информации в организации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации (ГОСТ Р 59022–2006). 3. Требования о защите общедоступной информации устанавливаются только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи. 4. Обладатели информации, обязаны обеспечить: 1) предотвращение несанкционированного доступа к информации и передачи ее третьим лицам, не имеющим права на доступ к информации; 2) своевременное обнаружение фактов несанкционированного доступа к информации; 3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации; 4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование; 5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней; 6) постоянный контроль за обеспечением уровня защищенности информации; 7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации. (п. 7 введен Федеральным законом от 21.07.2014 N 242-ФЗ) 5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям. 6. Федеральными законами установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации. 1. Средства опознания и разграничения доступа к информации Одним из наиболее интенсивно разрабатываемых направлений по обеспечению безопасности информации в компании ООО «Умный Ритейл» является идентификация и определение подлинности документов на основе электронной цифровой подписи. 2. Криптографический метод защиты информации Наиболее эффективным средством повышения безопасности на предприятии установлено криптографическое преобразование. 3. Компьютерные вирусы Компьютерный вирус – это специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и другие объединенные с ним компьютеры в целях нарушения нормальной работы программ, порчи файлов и каталогов, а также создания разных помех при работе на компьютере. Появление вирусов в компьютере определяется по следующим наблюдаемым признакам: - уменьшение производительности работы компьютера; - невозможность и замедление загрузки ОС; - повышение числа файлов на диске; - замена размеров файлов; - периодическое появление на экране монитора неуместных сообщений; - уменьшение объема свободной ОП; - резкое возрастание времени доступа к жесткому диску; - разрушение файловой структуры; - загорание сигнальной лампочки дисковода, когда к нему нет обращения. Основными путями заражения компьютеров в организации ООО «Умный Ритейл» вирусами служат съемные диски (дискеты и CD-ROM) и компьютерные сети. Заражение жесткого диска компьютера происходит в случаях загрузки компьютера с дискеты, содержащей вирус. По тому, какой вид среды обитания имеют вирусы, их классифицируют на загрузочные, файловые, системные, сетевые и файлово – загрузочные (многофункциональные). Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор, который содержит программу загрузки системного диска. Файловые вирусы помещаются в основном в исполняемых файлах с расширением. СОМ и. ЕХЕ. Системные вирусы внедряются в системные модули и драйверы периферийных устройств, таблицы размещения файлов и таблицы разделов. По результатам проверки выявлено, что сетевые вирусы находятся в компьютерных сетях, а файлово-загрузочные – заражают загрузочные секторы дисков и файлы прикладных программ. По пути заражения среды обитания вирусы разделяются на резидентные и нерезидентные. Резидентные вирусы при заражении компьютера оставляют в ОП свою резидентную часть, которая после заражения перехватывает обращение ОС к другим объектам заражения, внедряется в них и выполняет свои разрушительные действия, которые могут привести к выключению или перезагрузке компьютера. Нерезидентные вирусы не заражают ОП компьютера и проявляют активность ограниченное время. В ООО «Умный Ритейл» выявлены нерезидентные вирусы. Особенность построения вирусов влияет на их проявление и функционирование. Логическая бомба является программой на предприятии, которая встраивается в большой программный комплекс. Она безвредна до наступления определенного события, после которого реализуется ее логический механизм. Также вследствие тщательной проверки программы-мутанты, которые самовоспроизводясь, создают копии, явно отличающиеся от оригинала. Вирусы-невидимки, или стелс-вирусы, перехватывают обращения ОС к пораженным файлам и секторам дисков и подставляют вместо себя незараженные объекты. Эти вирусы при обращении к файлам применяют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы. По степени воздействия на ресурсы компьютерных систем и сетей, или по деструктивным возможностям, выделяют безвредные, неопасные, опасные и разрушительные вирусы. В организации ООО «Умный Ритейл» были обнаружены неопасные и опасные вирусы. 4. Антивирусные программы Основной работой антивирусных программ является принцип поиска сигнатуры вирусов, на предприятии установлена защита на базе работы программы-доктор. Программа-доктор способна не только обнаруживать, но и «лечить» зараженные программы или диски. При этом она уничтожает зараженные программы тела вируса. Программы данного типа можно разделить на фаги и полифаги. Фаги – это программы, с помощью которых отыскиваются вирусы определенного вида. Полифаги предназначены для обнаружения и уничтожения большого числа разнообразных вирусов. В ООО «Умный Ритейл» используется такие полифаги, как MS Antivirus, Aidstest, Doctor Web. Они непрерывно обновляются для борьбы с появляющимися новыми вирусами. 5. Безопасность данных в интерактивной среде Интерактивные среды уязвимы с позиций безопасности данных. Примером интерактивных сред в организации ООО «Умный Ритейл» является система с коммуникационными возможностями - электронная почта, Интернет. С целью защиты информации на предприятии от хулиганствующих элементов, неквалифицированных пользователей и преступников в системе Интернет применяется система полномочий, а также частичное управление доступом. Техническая и физическая защита информации на предприятии 1. Техническая защита информации Техническая защита информации на предприятии ООО «Умный Ритейл» представляет собой такие средства защиты информации, в основе которых лежит применение технических средств. IT-специалист ООО «Умный Ритейл» выяснил, что данные методы очень эффективны и их ключевые достоинства, следующие: Высокая надежность; Широкий круг выполнения задач; Возможность создания комплексных систем; Гибкое реагирование на попытки несанкционированного воздействия; Данные меры являются традиционными при осуществлении защитных функций. Все компьютеры организации соединены по топологии «звезда». В кабинете, который выделен под серверную, располагаются сервер, коммутаторы, АТС, ИБП. Сервер применяется как контролер домена. Все компьютеры соединены с помощью коммутаторов. Для доступа в сеть и связи с филиалами организация пользуются услугами сторонней фирмы. При регистрации новейших пользователей в домен добавляется новое имя рабочей станции и строится новая учетная запись пользователя. При входе в систему пользователь авторизуется в OС, указывая свой логин и пароль, затем его рабочая станция автоpизуется в домене. Требования к паролям: Пароли сотрудников меняются примерно раз в год, при этом учитываются требования сложности пароля. Пароли сотрудникам выдаются администратором, менять пароль пользователям не разрешено. Для выхода ко многим приложениям (1С) используются те же самые логины и пароли, что и для доcтупа в сиcтему. Для доступа к банковским приложениям используются другие логины и пароли. Пароли администратора меняются раз в полгода и также отвечают требованиям cложности. Также смена паролей администратора осуществляется непосредственно после работ cо сторонними организациями, например, при осуществлении подключeний, либо при появлении подозрений в компрометации паролей. Для осущeствления действий на компьютерах работников, иcпользуется либо учeтная запись главного, либо выдаются права администратора учетной записи сотрудника на определенное время. У главного есть выход ко всем паролям пользователей. Не всегда учетные записи уволенных работников удаляются своевременно. Для того, чтобы устранить вoзникновение допустимых угроз по части информационной утечке, в организации ООО «Умный Ритейл» стабильно актуализируется процесс организации информационной безопасности. Максимальный уровень автоматизации процессов: Наибольший уровень автоматизации процессов непосредственно позволяет сократить влияние «человеческого фактора» и реализуется средствами, доступными в конкретной системе. Автоматизация предполагает следующие перечисленные ниже пути совершенствования всей технической инфраструктуры предприятия. Регламентная установка исправлений: Регламентная установка исправлений включает в себя три основные фазы: Сбор информации о рекомендуемых и требуемых исправлениях. Тестирование применимости и корректности имеющегося исправления для продуктивной системы. Установку исправлений на продуктивную систему. Регламентация взаимодействующих узлов: Регламентация взаимодействующих узлов должна осуществляться исходя из следующих факторов: Наличие информационного потока. Возможности его потока изменений при переходе системы в нештатные режимы работы. Возможность оперативного изменения правил фильтрации при возникновении сетевых атак. Непрерывный мониторинг доступности: Непрерывный мониторинг доступности включает в себя следующее: Доступность сетевого узла (сетевой уровень). Доступности требуемого сервиса (уровень приложений). Возможности успешного выполнения тестовой задачи в приемлемое время. Контроль целостности комплекса ПО: Контроль целостности комплекса ПО обеспечивается комплексом программных средств периодического тестирования целостности (HIDS). Также должны быть предусмотрены средства оперативного оповещения администраторов об обнаруженных изменениях. Регламентное сканирование защищённости: Регламентное сканирование защищённости осуществляется периодически. Периодичность определяется исходя из следующих факторов: Частота производимых изменений в системе. Частота появления новых исправлений для данного комплекта общесистемного и прикладного ПО. Частота появления новых сигнатур для используемого сканера уязвимостей. Отключение учётных записей: Отключение учётных записей отсутствующих пользователей осуществляется в максимально короткие сроки после получения уведомления об отсутствии пользователя. Стратегия защиты – контрмеры:В основе стратегии защиты лежит принцип разделения всего комплекса средств технической инфраструктуры на различные зоны безопасности, сосредоточенные в пределах одной ЛВС или объединённые посредством надёжных каналов связи и взаимодействующие между собой через определенные фиксированные интерфейсы взаимодействия. Безопасность информации в каждой зоне непринужденно обеспечивается персонально и независимо от остальных зон. Такой подход позволяет: - вынести рассмотрение процесса обеспечения безопасности информации внутри каждой зоны в отдельный документ; - достаточно легко менять принципы функционирования любой зоны; - привносить новые элементы практически без влияния на общий уровень защищённости инфраструктуры. Абстрактные спецификации интерфейсов взаимодействия определяются в процессе формирования технической и функциональной архитектуры соответствующих элементов инфраструктуры. Основной набор требований по обеспечению безопасности инфраструктуры в целом определяется на основании принципиальных способов реализации угроз и возможных контрмер. Среди множества способов реализации угроз есть группа, для которой единственным способом управления рисками является принятие риска. Данная группа невелика, и для большинства способов реализации угроз сформулирован определённый набор организационных и технических мер, приводящих к снижению рисков их реализации. 2. Физическая защита информации Физические средства защиты – это разнообразные устройства, приспособления, конструкции, аппараты, изделия, предназначенные для создания препятствий на пути движения злоумышленников. X К физическим средствам на предприятии относят механические, электромеханические, электронные, электронно-оптические, радио- и радиотехнические и другие устройства для воспрещения несанкционированного доступа (входа, выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий. Объекты для охраны которые применяются в ООО «Умный Ритейл»: 1) территории предприятия и наблюдение за ней; 2) здания, внутренние помещения и контроль за ними; 3) оборудования, продукции, финансы и информация; 4) осуществление контролируемого доступа в здание и помещения. Все физические средства защиты объектов в организации можно разделить на три категории: средства предупреждения; средства обнаружения; системы ликвидации угроз. На территории компании присутствует охранная сигнализация и охранное телевидение, которые, относятся к средствам обнаружения угроз; заборы вокруг здания – это средства предупреждения несанкционированного проникновения на территорию, а усиленные двери, стены, потолки, решетки на окнах и другие меры служат защитой и от проникновения, и от других преступных действий (подслушивание, обстрел, бросание гранат и взрывпакетов). Средства пожаротушения, которые есть внутри помещения можно отнести к системам ликвидации чрезвычайных угроз. По физической природе и функциональному назначению средства защиты объектов можно разделить на следующие группы: – охранные и охранно-пожарные системы; – охранное телевидение; – охранное освещение; – средства физической защиты. Охранные системы на предприятии предназначены для: обнаружения попыток проникновения на объект защиты; оповещения сотрудников охраны о появлении угроз. К элементам охранных систем в ООО «Умный Ритейл» относятся датчики, принципы работы которых определяют возможности охранных систем. Уже разработано и широко используется значительное количество самых разнообразных датчиков, как по принципам обнаружения различных физических полей, так и по тактическому использованию. Датчики посредством тех или иных каналов связи соединены с контрольно-приемным устройством пункта охраны и средствами тревожного оповещения. Охранное телевидение позволяет контролировать обстановку как на самом предприятии, так и вокруг него в динамике ее развития, определять опасность действий, вести скрытое наблюдение и производить видеозапись для последующего анализа правонарушения как с целью анализа, так и для привлечения к ответственности нарушителя. Источниками изображения или датчиками в системах охранного телевидения являются камеры видеонаблюдения. Через объектив изображение злоумышленника попадает на светочувствительный элемент камеры, в котором оно преобразуется в электрический сигнал, поступающий затем по специальному коаксиальному кабелю на монитор и при необходимости – на видеомагнитофон. Видеокамера является самым важным элементом системы охранного телевидения в организации, так как от ее характеристик зависит эффективность и результативность всей системы контроля и наблюдения. В настоящее время разработаны и выпускаются самые разнообразные модели, различающиеся как по габаритам, так и по возможностям, и по конструктивному исполнению. Обязательной составной частью системы защиты любого предприятия является охранное освещение. Различают дежурное и тревожное охранное освещение. К средствам физической защиты относятся: – естественные и искусственные барьеры; – особые конструкции периметров, оконных и дверных переплетов; – зоны безопасности. Важным средством физической защиты является планировка объекта, его зданий и помещений по зонам безопасности, которые учитывают степень важности различных частей объекта, с точки зрения нанесения ущерба от различного вида угроз. Среди средств физической защиты в компании ООО «Умный Ритейл» особо следует отметить средства защиты ПЭВМ от хищения и проникновения к их внутренним компонентам. Организационная защита информации на предприятии Структуру организационной системы обеспечения информационной безопасности ООО «Умный Ритейл" обеспечивают сотрудники следующих должностей: - советник генерального директора по корпоративной защите; - начальник отдела информационных технологий и связи; - руководитель группы эксплуатации КТС и средств связи; - ответственные за обеспечение безопасности информации в подразделениях компании. В общем, организационная защита представляет собой регламентацию деятельности и взаимоотношений исполнителей на нормативно-правовой основе. Организационная защита информации на предприятии ООО «Умный Ритейл» позволяет обеспечить организацию охраны труда, организацию охраны рабочих отношений с кадрами и с документацией. Основные направления организационной защиты информации представлены на рис. 2. Рис 2 – Направления организационной защиты информации 1. Организация охраны и режима К основным задачам относятся: обеспечение сохранности здания и помещения предприятия; сохранность и контроль за перемещением материальных ценностей; обеспечение пропускного режима; сохранность собственной информации о деятельности предприятия; поддержание противопожарной безопасности. В число обеспечивающих задач входят: подбор, подготовка и расстановка сил и средств; контроль функционирования системы режима и охраны; материально-техническое обеспечение режима и охраны; сбор и анализ информации о состоянии режима. 2. Организация работы с персоналом К основным задачам относятся: подбор и расстановка персонала; ознакомление с сотрудниками, и их изучение; обучение правилам работы с конфиденциальной информацией; ознакомление с мерами ответственности за нарушение правил защиты информации. При профотборе сотрудников для работы, компания ООО «Умный Ритейл» придерживается следующих этапов процедуры отбора персонала: 1) Предварительное собеседование; 2) Сбор и оценка информации о кандидатах; 3) Проверка кандидата с использованием тестов и приборов; 4) Исследование результатов тестирования; 5) Заключительное собеседование: - начальный этап; - центральная часть собеседования; - завершающий этап. 3. Организация работы с документами К основным задачам относятся: разработка, использование, учет, исполнение, возврат; хранение и уничтожение документов и носителей конфиденциальной информации. Организация работы с документами на предприятии ООО «Умный Ритейл» включает в себя следующие этапы: - первичная обработка поступивших документов; - предварительное рассмотрение документов; - регистрация; - рассмотрение документов руководством; - направление на исполнение; - контроль исполнения; - подшивка документов в деле; - формирование дел; - оформление дел; - передача дел в архив. 4. Анализ внутренних и внешних угроз К основным задачам относятся: – прогнозирование вероятности угроз экономической безопасности предприятия; – организация мероприятий по предупреждению возможных опасностей экономической безопасности предприятия; – обнаружение и анализ реально возникших угроз экономической безопасности; – разработка и принятие управленческих решений по устранению угроз экономической безопасности предприятия и минимизации их последствий. Большую роль в проведении объективной оценки текущего и перспективного состояния предприятия оказывает SWOT-анализ: 1) сильных сторон – деятельности или сфер, в которых предприятие имеет преимущества; 2) слабые стороны – наиболее уязвимые сферы деятельности предприятия; 3) возможности – благоприятные факторы, которые есть у предприятия для дальнейшего развития; 4) угрозы – факторы, создающие опасность предприятию в будущем. Результаты SWOT-анализа являются основой разработки механизма обеспечения экономической безопасности предприятия, который состоит из следующих этапов: 1. Обеспечение предприятия необходимыми ресурсами – материально-техническими, финансовыми, трудовыми, информационными. 2. Проведение мониторинга угроз и опасностей экономической безопасности предприятия. 3. Разработка методологического инструментария для оценки уровня экономической безопасности предприятия в виде индикаторов угроз – ключевых показателей, позволяющих выявить наиболее опасные места в работе предприятия, определить направления и способы их устранения. Это, прежде всего, показатели состояния ресурсной и кадровой базы предприятия и ее использования, а также показатели финансовой устойчивости. 4. Выбор метода оценки и определение фактического уровня экономической безопасности предприятия. 5. Разработка и реализация комплекса мероприятий по предупреждению, нейтрализации или пресечению угроз, по устранению негативных последствий влияния на предприятии. Мониторинг угроз экономической безопасности предприятия позволяет изучить комплекс факторов, угрожающих экономической безопасности предприятия; системно проанализировать динамично меняющуюся социально-экономическую ситуацию, провести технико-экономическое обоснование принимаемых управленческих решений. 5. Управление системой защиты информации К основным задачам относятся: сбор и анализ данных о состоянии информационной безопасности в организации; оценка информационных рисков; планирование мер по обработке рисков; реализация и внедрение соответствующих механизмов контроля, распределение ролей и ответственности, обучение и мотивация персонала, оперативная работа по осуществлению защитных мероприятий; мониторинг функционирования механизмов контроля, оценка их эффективности и соответствующие корректирующие воздействия. Управление системой защиты информации включает в себя следующие этапы: — выявление и анализ рисков информационной безопасности; — планирование и практическая реализация процессов, направленных на минимизацию рисков информационной безопасности; — контролирование этих процессов; — внесение в процессы минимизации информационных рисков необходимых корректировок. Заключение Сегодня, наверное, никто не сможет с уверенностью назвать точную цифру суммарных потерь от компьютерных преступлений, связанных с несанкционированных доступом к информации. Это объясняется, прежде всего, нежеланием пострадавших компаний обнародовать информацию о своих потерях, а также тем, что не всегда потери от хищения информации можно точно оценить в денежном эквиваленте. В контрольной работе изложена характеристика предприятия, проведен анализ информационной безопасности на выбранном предприятии в контексте правовой, организационной и технической защиты. На основе анализа, предложены меры, способные противостоять надвигающимся угрозам в компании ООО «Умный Ритейл». Выполнение предложенных контрмер по устранению недостатков позволит предприятию повысить эффективность средств защиты и сократить риск потери информации. В целом, можно отметить, что на предприятии довольно отлаженная система защиты информации, однако есть, над чем поработать, потому и работа весьма актуальна для данной компании. Следует отметить, что процесс организации или реорганизации информационной безопасности — это комплексный процесс, направленный на полную поддержку стратегии информационной безопасности. Кроме того, для решения проблемы обеспечения информационной безопасности необходимо применение законодательных, организационных и программно-технических мер, что позволит полностью ликвидировать ее. Список литературы 1. ГОСТ Р ИСО/МЭК 15408–2012 «Информационная технология. Методы и средства обеспечения безопасности». 2. Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» (в ред. Указа Президента РФ от 23.09.2005 № 1111). 3. Федеральный закон 27.07.2006 г. N 152-ФЗ «О персональных данных». 4. Федеральный закон №98-ФЗ «О коммерческой тайне». 5. Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации». 6. Федеральный закон № 5485–1 «О государственной тайне». 7. ГОСТ Р 59022–2006 «О защите информации». 8. ФСТЭК. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. 2008. 9. Белов E.Б. Основы информационной безопасности: Учебн. пособие/ 10. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты, ТИД Диа Софт, 2016 г. 11. Филин С. А. Информационная безопасность. Учебное пособие. – М.: Альфа – Пресс, 2016. – 412 с. 12. Ярочкин В.И. Информационная безопасность. – М: «Гаудеамус», 2014. – 543 с. 13. Защита информации от несанкционированного доступа [Электронный ресурс] URL: http://www.searhinform.ru/ (дата обращения 15.10.2021). |