Комплексное обеспечение защиты информации объекта информатизации. КОЗИОБ. Совершенствование комплексной системы информации Группа предприятий готэк
Скачать 46.79 Kb.
|
МИНОБРНАУКИ РОССИИ Федеральное государственное бюджетное образовательное учреждение высшего образования «Тульский государственный университет» Институт прикладной математики и компьютерных наук Кафедра «Информационной безопасности» Курсовой проект По дисциплине Комплексное обеспечение защиты информации объекта информатизации на тему: Совершенствование комплексной системы информации «Группа предприятий ГОТЭК» Выполнил студент группы Б252281 Малин М.П. Проверил Борзенкова С.Ю. Тула 2022 ОглавлениеВведение 3 1. Аналитическая часть 4 1.1 Анализ системы информационной безопасности на “Группа предприятий ГОТЭК” 4 1.2 Анализ и характеристика информационных ресурсов предприятия 4 1.3 Угрозы и средства защиты информации на предприятии 7 1.3 Модель вероятного нарушителя информационной безопасности 9 2 Совершенствование системы информационной безопасности 16 2.1 Выявленные недостатки в системе защиты информации 16 2.2 Цели и задачи формирования системы ИБ на предприятии 16 2.3 Предлагаемые мероприятия по улучшению системы информационной безопасности организации 18 3. Разработка совершенствования системы защиты информации. 19 3.1 Недостатки в системе защиты информации 19 3.2 Цель и задачи системы информационной безопасности 20 3.3 Мероприятия и средства по совершенствованию системы информационной безопасности 22 Заключение 28 Список использованных источников 29 ВведениеАктуальность исследования. Возрастающие требования к объемам обрабатываемой информации, к структуре и качеству информационного фонда, к адекватности представления предметной области в рамках автоматизированных систем управления (АСУ), оказали большое влияние на процесс формирования специализированного класса автоматизированных информационных систем (АИС), основополагающим назначением которых является компактность представления информации и высокая скорость ее обработки. С ростом производительности вычислительной техники проблема повышения эффективности АИС за последние десятилетия перевела исследовательские приоритеты из сферы «алгоритмов» в среду «моделей данных» и сделала актуальной задачу разработки систем управления базами данных (СУБД). Развитие технических систем и процессов автоматизации привело к необходимости создания больших программно-технических комплексов, обладающих сложной структурой и разветвленной функциональностью. Разработка систем такого класса требует использования тех или иных технологий, основанных на парадигме сложных систем. Результатом такого развития становится все большее применение различных методов и моделей, создаваемых в расчете на значительное сокращение временных, трудовых и материальных затрат на разработку больших и сложных автоматизированных систем и относящихся к классу «логического проектирования». 1. Аналитическая часть1.1 Анализ системы информационной безопасности на “Группа предприятий ГОТЭК”Объектом изучения данной курсовой работы является группа предприятий "ГОТЭК" - крупнейший в Российской Федерации производитель современной упаковки и упаковочных материалов, лидер отечественного рынка по ассортименту выпускаемой продукции. Свою миссию компания "ГОТЭК" видит в том, чтобы создавать рациональные упаковочные решения для каждого клиента, точно зная как это сделать лучше и эффективнее всех на рынке. На протяжении всех лет существования предприятие ЗАО "ГОТЭК" участвует в различных областных, всероссийских и международных конкурсах и выставках, занимает призовые места, получает дипломы и становится лауреатом премий. Кроме того постоянно внедряется новейшее оборудование, применяются современные технологии, достижения науки и техники. На предприятии используется линейно-функциональная структур. В линейно-функциональной структуре формируется иерархия служб. В этой структуре руководители функциональных подразделений имеют право отдавать распоряжения на следующую ступень управления по функциональным вопросам. 1.2 Анализ и характеристика информационных ресурсов предприятияСегодня все озабочены безопасностью корпоративной информации. Все большую популярность приобретают отдельные программы и целые комплексы, предназначенные для защиты данных. Однако никто не задумывается над тем, что можно иметь сколько угодно надежную защиту, но все равно потерять важную информацию. Потому, что кто-то из ваших сотрудников сочтет ее незначащей и выставит на всеобщее обозрение. И если вы уверены, что защищены от этого, то сильно заблуждаетесь. На первый взгляд подобная ситуация выглядит чем-то нереальным, похожим на анекдот. Однако такое действительно случается, причем случается часто. И действительно, технический персонал, который в подавляющем большинстве случаев и занимается проблемами безопасности информации, не всегда понимает, какие данные нужно прятать, а какие нет. Для того, чтобы понять нужно разбить всю информацию на разные типы, которые принято называть типами, и четко определить границы между ними. Собственно говоря, все компании, специализирующиеся на поставке комплексных систем обеспечения безопасности компьютерной информации, учитывают деление данных по различным типам. Вот только тут надо быть осторожным. Дело в том, что западные продукты следуют международным стандартам (в частности, ISO 17799 и некоторым другим). Согласно им все данные делятся по трем типам: открытые, конфиденциальные и строго конфиденциальные. Между тем в нашей стране согласно действующему законодательству используется несколько иное разграничение: открытая информация, для внутреннего использования и конфиденциальная. Под открытой подразумевается любая информация, которая может свободно передаваться другим лицам, а также размещаться в средствах массовой информации. Чаще всего она представляется в виде пресс-релизов, выступлений на конференциях, презентациях и выставках, отдельных (естественно, положительных) элементов статистики. Помимо этого, к данному грифу относятся все данные, полученные из открытых внешних источников. Ну и, естественно, информация, предназначенная для корпоративного веб-сайта, тоже считается публичной. На первый взгляд кажется, что открытая информация не нуждается в защите. Однако люди забывают, что данные можно не только похитить, но и подменить. А поэтому сохранение целостности открытой информации - очень важная задача. Иначе вместо заранее подготовленного пресс-релиза может получиться непонятно что. Или главная страница корпоративного сайта будет подменена оскорбительными надписями. Так что открытая информация тоже нуждается в защите. Как и любое другое предприятие, общество имеет открытую информацию, содержащуюся в основном в презентациях демонстрируемых возможным инвесторам. К информация для внутреннего использования относятся любые данные, которые используются сотрудниками для осуществления своих профессиональных обязанностей. Но это еще не все. К этой категории относится вся информация, которой обмениваются между собой различные подразделения или филиалы для обеспечения своей работоспособности. И, наконец, последний тип данных, попадающих под эту категорию данных, - информация, полученная из открытых источников и подвергнутая обработке (структурированию, редактированию, внесению пояснений). Фактически вся эта информация, даже попав в руки конкурентов или злоумышленников, не может нанести серьезного вреда компании. Однако некоторый ущерб от ее похищения все-таки может быть. Допустим, сотрудники собрали для своего начальника новости по интересующей его теме, среди которых выбрали самые важные сообщения и пометили их. Такой дайджест явно является информацией для внутреннего использования (информация получена из открытых источников и подвергнута обработке). На первый взгляд кажется, что конкуренты, заполучив его, не смогут извлечь из него пользы. Но на самом деле они могут догадаться, какое направление деятельности интересует руководство вашей компании, и, кто знает, может быть, у них даже получится опередить вас. А поэтому информация для внутреннего использования должна быть защищена не только от подмены, но и от несанкционированного доступа. Правда, в подавляющем большинстве случаев можно ограничиться безопасностью локальной сети, потому что тратить крупные суммы на это экономически невыгодно. На предприятии представлен и этот вид информации, которая содержится в различного рода отчетах, списках, выписках и т.п. Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, не являющаяся общедоступной и в случае разглашения способная нанести ущерб правам и охраняемым законом интересам предоставившего ее лица. Перечень данных, относящихся к этому грифу, устанавливается государством. На данный момент он таков: персональная информация, информация, составляющая коммерческую, служебную или профессиональную тайну, сведения, являющиеся тайной следствия и делопроизводства. Кроме того, в последнее время к конфиденциальным стали относить данные о сущности изобретения или научного открытия до их официального опубликования. К конфиденциальной информации на предприятии можно отнести такие данные как: план развития, научно-исследовательские работы, техническая документация, чертежи, распределение прибыли, договора, отчеты, ресурсы, партнеры, переговоры, контракты, а также информация управленческого и планового характера. На предприятии имеется порядка двадцати ПК. Что же касается наличия локальной сети на предприятии, то ПК в обществе не объединены в единую сеть. Кроме того, все компьютеры оснащены стандартным набором офисных программ и бухгалтерских программ. Три компьютера имеют выход в Интернет через Минипорт WAN. При этом ни один компьютер на предприятии не оснащен антивирусной программой. Обмен информацией осуществляется посредством носителей: флешек, дискет. Вся информация на «традиционных» носителях расположена в шкафах, которые не запираются. Наиболее важные документы располагаются в сейфе, ключи от которого хранятся у секретаря. |