Главная страница
Навигация по странице:

  • Законодательные (правовые) меры защиты

  • Морально-этические меры защиты

  • Организационные (административные) меры защиты

  • Формирование политики безопасности

  • Регламентация доступа в помещения АС организации

  • 2.5. Основные принципы защиты, определяющие стратегию обеспечения информационной безопасности

  • Основные принципы информационной безопасности

  • Контроль над всеми операциями

  • Запрещено всё, что не разрешено

  • Минимум идентичных процедур

  • Отчет по преддипломной практики. Отчет по практической подготовке в форме преддипломной практики в ооо Астралрд


    Скачать 273.73 Kb.
    НазваниеОтчет по практической подготовке в форме преддипломной практики в ооо Астралрд
    АнкорОтчет по преддипломной практики
    Дата01.06.2022
    Размер273.73 Kb.
    Формат файлаdocx
    Имя файлаОтчет по преддипломной практики.docx
    ТипОтчет
    #563091
    страница9 из 9
    1   2   3   4   5   6   7   8   9

    2.4. Меры обеспечения безопасности организационного и программно-технического уровня, предпринимаемые для реализации перечисленных требований.


    Все меры обеспечения безопасности компьютерных систем подразделяются на:

    • правовые (законодательные);

    • морально-этические;

    • организационные (административные);

    • физические;

    • технические (аппаратурные и программные).

    Законодательные (правовые) меры защиты

    К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей.

    Морально-этические меры защиты

    К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации.

    Организационные (административные) меры защиты

    Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

    Формирование политики безопасности

    Главная цель административных мер, предпринимаемых на высшем управленческом уровне - сформировать политику в области обеспечения безопасности информации (отражающую подходы к защите информации) и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

    Политика нижнего уровня определяет процедуры и правила достижения целей и решения задач безопасности информации и детализирует (регламентирует) эти правила:

    • какова область применения политики безопасности информации;

    • каковы роли и обязанности должностных лиц, отвечающие за проведение политики безопасности информации;

    • кто имеет права доступа к информации ограниченного распространения;

    • кто и при каких условиях может читать и модифицировать информацию и т.д.

    Политика нижнего уровня должна:

    • предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении конфиденциальных информационных ресурсов;

    • определять коалиционные и иерархические принципы и методы разделения секретов и разграничения доступа к информации ограниченного распространения;

    • выбирать программно-математические и технические (аппаратные) средства криптозащиты, противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.

    Регламентация доступа в помещения АС организации

    Эксплуатация защищенных АРМ и серверов АС организации должна осуществляться в помещениях, оборудованных надежными автоматическими замками, средствами сигнализации и постоянно находящимися под охраной или наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (АРМ, документов, реквизитов доступа и т.п.). В помещениях во время обработки и отображения на ПЭВМ информации ограниченного распространения должен присутствовать только персонал, допущенный к работе с данной информацией. Запрещается прием посетителей в помещениях, когда осуществляется обработка защищаемой информации.

    По окончании рабочего дня помещения с установленными защищенными АРМ должны сдаваться под охрану с включением сигнализации и с отметкой в книге приема и сдачи служебных помещений.

    Для хранения служебных документов и машинных носителей с защищаемой информацией помещения снабжаются сейфами и металлическими шкафами.

    В случае оснащения помещений средствами охранной сигнализации, а также автоматизированной системой приема и регистрации сигналов от этих средств, прием-сдача таких помещений под охрану осуществляется на основании специально разрабатываемой инструкции, утверждаемой руководством органов организации.

    Помещения должны быть обеспечены средствами уничтожения документов.

    В случае применения для обработки информации средств вычислительной техники, пропускной и внутри объектовый режим объекта СВТ должен удовлетворять требованиям, предъявляемым к режимным объектам.

    Регламентация допуска сотрудников к использованию ресурсов АС организации

    Допуск сотрудников подразделений организации к работе с автоматизированной системой и доступ к ее ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно “Инструкции по внесению изменений в списки пользователей АС организации и наделению их полномочиями доступа к ресурсам системы”. Основными пользователями информации в АС организации являются сотрудники структурных подразделений организации. Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования:

    • открытая, конфиденциальная информация размещаются по возможности на различных серверах (это упрощает обеспечение защиты);

    • каждый сотрудник пользуется только предписанными ему правами по отношению к информации, с которой ему необходима работа в соответствии с должностными обязанностями;

    • начальник имеет права на просмотр информации своих подчиненных только в установленных пределах в соответствии со своими должностными обязанностями;

    • наиболее ответственные технологические операции должны производиться по правилу "в две руки" - правильность введенной информации подтверждается другим должностным лицом, не имеющим права ввода информации.

    Обработка защищаемой информации в подсистемах АС организации должна производиться в соответствии с утвержденными технологическими инструкциями (техническими порядками) для данных подсистем.

    Для пользователей защищенных АРМ (то есть АРМ, на которых обрабатывается защищаемая информация или решаются подлежащие защите задачи и на которых установлены соответствующие средства защиты) должны быть разработаны необходимые технологические инструкции, включающие требования по обеспечению безопасности информации.

    Регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов

    Все операции по ведению баз данных организации и допуск сотрудников подразделений организации к работе с этими базами данных должны быть строго регламентированы (должны производиться в соответствии с утвержденными технологическими инструкциями). Любые изменения состава и полномочий пользователей баз данных АС организации должны производиться установленным порядком.

    Распределение имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на специальных пользователей - администраторов конкретных баз данных. При этом могут использоваться как только штатные, так и дополнительные средства защиты СУБД и операционных систем.

    Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов АС организации

    Все аппаратные и программные ресурсы АС организации должны быть установленным порядком категорированы (для каждого ресурса должен быть определен требуемый уровень защищенности). Подлежащие защите ресурсы системы (задачи, программы, АРМ) подлежат строгому учету (на основе использования соответствующих формуляров или специализированных баз данных).

    2.5. Основные принципы защиты, определяющие стратегию обеспечения информационной безопасности


    Полноценная информационная безопасность базируется на нескольких основополагающих принципах:

    Основные принципы информационной безопасности

    Простота использования информационной системы. Данный принцип информационной безопасности заключается в том, что для минимизации ошибок следует обеспечить простоту использования информационной системы. Во время эксплуатации ИС пользователи и администраторы совершают непреднамеренные ошибки, некоторые из которых могут вести к невыполнению требований политик безопасности и снижению уровня информационной безопасности.

    Контроль над всеми операциями. Этот принцип подразумевает непрерывный контроль состояния информационной безопасности и всех событий, влияющих на ИБ. Необходим контроль доступа к любому объекту ИС с возможностью блокирования нежелательных действий и быстрого восстановления нормальных параметров информационной системы.

    Запрещено всё, что не разрешено. Этот принцип ИБ заключается в том, что доступ к какому-либо объекту ИС должен предоставляться только при наличии соответствующего правила, отраженного, например, в регламенте бизнес-процесса или настройках защитного программного обеспечения. Данный принцип позволяет допускать только известные безопасные действия, а не заниматься распознаванием любой угрозы, что очень ресурсоёмко, невозможно в полной мере и не обеспечивает достаточный уровень ИБ.

    Открытая архитектура ИС. Этот принцип информационной безопасности состоит в том, что безопасность не должна обеспечиваться через неясность. Попытки защитить информационную систему от компьютерных угроз путем усложнения, запутывания и скрытия слабых мест ИС, оказываются в конечном итоге несостоятельными и только отсрочивают успешную хакерскую, вирусную или инсайдерскую атаку.

    Разграничение доступа. Данный принцип ИБ заключается в том, что каждому пользователю предоставляется доступ к информации и её носителям в соответствии с его полномочиями. При этом исключена возможность превышения полномочий. Каждой роли/должности/группе пользователей можно назначить свои права на выполнение действий (чтение/изменение/удаление) над определёнными объектами ИС.

    Минимальные привилегии. Принцип минимальных привилегий состоит в выделении пользователю наименьших прав и доступа к минимуму необходимых функциональных возможностей программ. Такие ограничения, тем не менее, не должны мешать выполнению работы.

    Достаточная стойкость. Этот принцип информационной безопасности выражается в том, что потенциальные злоумышленники должны встречать препятствия в виде достаточно сложных вычислительных задач. Например, необходимо, чтобы взлом паролей доступа требовал от хакеров неадекватно больших промежутков времени и/или вычислительных мощностей.

    Минимум идентичных процедур. Этот принцип информационной безопасности состоит в том, что в системе ИБ не должно быть общих для нескольких пользователей процедур, таких как ввод одного и того же пароля. В этом случае масштаб возможной хакерской атаки будет меньше.

    Заключение


    В ходе прохождения преддипломной практики были изучены характеристика предприятия, организационная структура предприятия, был собран материал, необходимый для написания отчета.

    В первой главе даны краткая характеристика предприятия, основные виды деятельности, структура управления, должностные обязанности специалистов организации, технико-экономические показатели.

    Вторая глава – анализ информационной структуры предприятия, существующие меры защиты, их недостатки, модель угроз и злоумышленника, а также требования руководящих документов к КСЗИ.

    Во время прохождения преддипломной практики, мною были выполнены все задачи, которые были поставлены.

    В ходе прохождения преддипломной практики, я овладел следующими навыками:

    • способность находить организационно-управленческие решения и готовностью нести за них ответственность;

    • способностью проектировать организационные структуры, участвовать в разработке стратегий управления человеческими ресурсами организаций, планировать и осуществлять мероприятия, распределять и делегировать полномочия с учетом личной ответственности за осуществляемые мероприятия;

    • способностью осуществлять деловое общение и публичные выступления, вести переговоры, совещания, осуществлять деловую переписку и поддерживать электронные коммуникации.

    Данная преддипломной практика является хорошим практическим опытом для дальнейшей самостоятельной деятельности. За время пройденной практики я познакомился с новыми интересными фактами. Закрепил свои теоретические знания, лучше ознакомилась со своей профессией, а также данный опыт послужит хорошей ступенькой в моей дальнейшей карьерной лестнице.

    Список литературы


    1. Бадагуев, Б.Т. Экологическая безопасность предприятия. Приказы, акты, инструкции, журналы, положения, планы / Б.Т. Бадагуев. - М.: Альфа-Пресс, 2012. - 568 c.

    2. Бадагуев, Б.Т. Экологическая безопасность предприятия: Приказы, акты, инструкции, журналы, положения, планы / Б.Т. Бадагуев. - М.: Альфа-Пресс, 2012. - 568 c.

    3. Бланк, И.А. Управление финансовой безопасностью предприятия / И.А. Бланк. - Киев: Эльга, Ника-Центр, 2006. - 776 c.

    4. Бурашников, Ю.М. Безопасность жизнедеятельности. Охрана труда на предприятиях пищевых производств: Учебник / Ю.М. Бурашников, А.С. Максимов. - СПб.: Лань, 2017. - 496 c.

    5. Бурашников, Ю.М. Безопасность жизнедеятельности. Охрана труда на предприятиях пищевых производств / Ю.М. Бурашников. - СПб.: Гиорд, 2007. - 416 c.

    6. Бурашников, Ю.М. Производственная безопасность на предприятиях пищевых производств: Учебник / Ю.М. Бурашников, А.С. Максимов, В Сысоев. - М.: Дашков и К, 2015. - 520 c.

    7. Бурашников, Ю.М. Производственная безопасность на предприятиях пищевых производств: Учебник / Ю.М. Бурашников, А.С. Максимов. - М.: Дашков и К, 2014. - 520 c.

    8. Бурашников, Ю.М. Производственная безопасность на предприятиях пищевых производств: Учебник / Ю.М. Бурашников, А.С. Максимов. - М.: Дашков и К, 2016. - 520 c.

    9. Гришина, Н.В. Информационная безопасность предприятия: Учебное пособие / Н.В. Гришина. - М.: Форум, 2017. - 159 c.

    10. Гришина, Н.В. Информационная безопасность предприятия: Учебное пособие / Н.В. Гришина. - М.: Форум, 2018. - 118 c.


    Махачкала 2022
    1   2   3   4   5   6   7   8   9


    написать администратору сайта