Комплексное обеспечение защиты информации объекта информатизации. КОЗИОБ. Совершенствование комплексной системы информации Группа предприятий готэк
 Скачать 46.79 Kb.
|
2 Совершенствование системы информационной безопасности2.1 Выявленные недостатки в системе защиты информацииСамым уязвимым местом в защите информации в обществе является защита компьютерной безопасности. В ходе даже поверхностного анализа на предприятии можно выделить следующие недостатки: Редко производится резервное копирование информации; Недостаточный уровень программных средств защиты информации; Некоторые сотрудники имеют недостаточный навык владения ПК; Не ведется контроль за сотрудниками. Часто работники могут уйти с места работы, не отключив свой ПК и имея при себе флеш-носитель со служебной информацией. Отсутствие нормативных документов по информационной безопасности. Не на всех компьютерах используются средства ОС, такие как пароли и учетные записи. 2.2 Цели и задачи формирования системы ИБ на предприятииГлавной целью системы информационной безопасности является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов предприятия от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений объекта. Другой целью системы информационной безопасности является повышение качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов. Задачи формирования системы информационной безопасности в организации являются: целостность информации, достоверность информации и ее конфиденциальность. При выполнении поставленных задач, цель будет реализована. Создание систем информационной безопасности (СИБ) в ИС и ИТ основывается на следующих принципах: Системный подход к построению системы защиты, означающий оптимальное сочетание взаимосвязанных организационных, программных, аппаратных, физических и других свойств, подтвержденных практикой создания отечественных и зарубежных систем защиты и применяемых на всех этапах технологического цикла обработки информации. Принцип непрерывного развития системы. Этот принцип, являющийся одним из основополагающих для компьютерных информационных систем, еще более актуален для СИБ. Способы реализации угроз информации в ИТ непрерывно совершенствуются, а потому обеспечение безопасности ИС не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования СИБ, непрерывном контроле, выявлении ее узких и слабых мест, потенциальных каналов утечки информации и новых способов несанкционированного доступа. Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т. е. предоставление, как пользователям, так и самим работникам ИС, минимума строго определенных полномочий, достаточных для выполнения ими своих служебных обязанностей. Полнота контроля и регистрации попыток несанкционированного доступа, т. е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в ИТ без ее предварительной регистрации. Обеспечение надежности системы защиты, т. е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий взломщика или непреднамеренных ошибок пользователей и обслуживающего персонала. Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты. Обеспечение всевозможных средств борьбы с вредоносными программами. Обеспечение экономической целесообразности использования системы защиты, что выражается в превышении возможного ущерба ИС и ИТ от реализации угроз над стоимостью разработки и эксплуатации СИБ. 2.3 Предлагаемые мероприятия по улучшению системы информационной безопасности организации Выявленные недостатки на предприятии требуют их устранения, поэтому предлагается проведение следующих мероприятий. Регулярное резервное копирование БД с личными данными сотрудников общества, с бухгалтерскими данными и др. баз, имеющихся на предприятии. Это предотвратит потерю данных из-за сбоев дисков, отключения электропитания, воздействия вирусов и других случайностей. Тщательное планирование и регулярное проведение процедур резервного копирования позволяет при потере данных быстро их восстановить. Использование средств ОС на каждом компьютере. Создание учетных записей для специалистов и регулярная смена пароля для этих учетных записей. Обучение персонала предприятия работе с компьютерами. Необходимое условие для правильной работы на рабочих станциях и предотвращения потери и повреждения информации. От навыков владения ПК персоналом зависит работа всего предприятия, в плане правильности выполнения. Установка на компьютеры антивирусных программ таких как: Avast, NOD, Doctor Web и т.п. Это позволит избежать заражение компьютеров различными вредоносными программами, называемыми вирусы. Что очень актуально для данного предприятия, так как несколько ПК имеет доступ в Интернет и сотрудники для обмена информацией пользуются флеш-носителями. Ведение контроля за сотрудниками, с помощью видеокамер. Это позволит сократить случаи халатного обращения с оборудованием, риск краж оборудования и их порчи, а также позволит контролировать «вынос» служебной информации с территории общества. Разработка нормативного документа «Меры защиты информации в ООО «ГОТЭК» и ответственность за их нарушения», который бы соответствовали действующему законодательству РФ и определит риски, нарушения и ответственность за эти нарушения (штрафы, наказания). А также внесения соответствующей графы в трудовой договор общества, что он ознакомлен и обязуется выполнять положения данного документа. |