Система обеспечения информационной безопасности предприятия

система обеспечения информационной безопасности предприятия

X.509;

кодирование данных и контроль целостности информации при передаче ее с помощью носителей информации и по открытым каналам в рамках взаимодействия компонентов и пользователей информационной системы на базе электронных сертификатов X.509;

кодирование данных и контроль целостности информации при удаленном доступе мобильных сотрудников на базе электронных сертификатов X.509;

аутентификация пользователей и активного сетевого оборудования в рамках информационного взаимодействия на базе электронных сертификатов X.509

управление сервисом распределения электронных сертификатов;

безопасную транспортировку электронных сертификатов конечным пользователям;

поддержку жизненного цикла электронных сертификатов (генерация, распределение, отзыв, подтверждение);

поддержку хранения электронных сертификатов и паролей на внешних носителях (USB-токены, смарт-карты);

поддержка стандартов PKCS#11, PKCS#7.

Требования к подсистеме сегментирования и межсетевого экранирования

Подсистема сегментирования и межсетевого экранирования предназначена для разграничения межсетевого доступа на уровне сетевых протоколов и защиты ЛВС предприятия от сетевых атак со стороны сети Интернет и внешних сетей.

Система обеспечения информационной безопасности предприятия

Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий.

Безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты на всех этапах обработки информации.

Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм – комплексную систему защиты информации (КСЗИ).

На практике выделяют следующие направления информационной безопасности:

— правовая защита – это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе;

— организационная защита – это регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе исключающая или ослабляющая нанесение какого-либо ущерба исполнителем;

— инженерно-техническая защита – это использование различных технических средств, препятствующих нанесению ущерба коммерческой деятельности.

Категории действий способных нанести вред информационной безопасности

Действия, которые могут нанести ущерб информационной безопасности организации, можно разделить на несколько категорий:

1. Действия, осуществляемые авторизованными пользователями.

  • Организации процесса, ориентированного на лишение какой-либо возможности в получении конкурентом ценной информации о намерениях предприятия, о торговых и производственных возможностях, способствующих развитие и осуществление поставленных предприятием целей и задач;

  • Привлечение к процессу по защите и безопасности всего персонала, а не только службы безопасности.

6 рекомендаций разработчикам системы информационной безопасности

  1. Все используемые средства для защиты должны быть доступными для пользователей и простыми для технического обслуживания.
  2. Каждого пользователя нужно обеспечить минимальными привилегиями, необходимыми для выполнения конкретной работы.
  3. Система защиты должна быть автономной.
  4. Необходимо предусмотреть возможность отключения защитных механизмов в ситуациях, когда они являются помехой для выполнения работ.
  5. Разработчики системы безопасности должны учитывать максимальную степень враждебности окружения, то есть предполагать самые наихудшие намерения со стороны злоумышленников и возможность обойти все защитные механизмы.
  6. Наличие и место расположение защитных механизмов должно быть конфиденциальной информацией.

Организация обеспечения безопасности информационных банковских систем основывается на тех же принципах защиты и предполагает постоянную модернизацию защитных функций, поскольку эта сфера постоянно развивается и совершенствуется.

Система обеспечения информационной безопасности предприятия в

Все участники отношений в процессе обеспечения безопасности информации, будь то человек, государство, предприятие или регион, представляют собой многоцелевые сложные системы, для которых трудно определить уровень необходимой безопасности.

На основании этого система обеспечения информационной безопасности организации рассматривается как целый комплекс принятых управленческих решений, направленных на выявление и предотвращение внешних и внутренних угроз. Эффективность принятых мер основывается на определении таких факторов, как степень и характер угрозы, аналитическая оценка кризисной ситуации и рассматривание других неблагоприятных моментов, представляющих опасность для развития предприятия и достижения поставленных целей.

Система обеспечения информационной безопасности предприятия курсовая

В конечном итоге эти инвестиции в долговременном периоде должны быть компенсированы получением дополнительной массы прибыли.

Каждое предприятие является юридическим лицом, которое характеризуют следующие признаки:

наличие организационного единства и организационной обособленности, фиксируемых в уставе и учредительных документах;

обособленность имущества, что отражается в бухгалтерском балансе, уставе и учредительном договоре;

способность от своего имени приобретать имущественные права и осуществлять иные хозяйственные сделки;

ответственность по обязательствам всем своим имуществом;

способность быть истцами и ответчиками в суде, арбитражном или третейском суде.

Предприятие имеет законченную (завершенную) систему учета и отчетности, самостоятельный баланс, банковский расчетный счет, печать с собственным названием, а в отдельных случаях и товарный знак.

Фирма – также юридически самостоятельная предпринимательская единица в форме концерна или небольшой компании. Современная фирма включает обычно несколько предприятий и по отношению к входящим в ее состав производственным единицам является органом предпринимательского управления.

— электронный доступ к секретным данным;

— подслушивание при помощи подсоединения к кабельным сетям, установка подслушивающей аппаратуры в офисе, перехват переговоров по мобильным телефонам;

— несанкционированный доступ к компьютерным системам посредством проникновения в сеть, взлома программного или аппаратного обеспечения;

— физический доступ к секретным материалам;

— применение скрытого визуального наблюдения, фото- или видеосъемки;

— использование личных связей с сотрудниками фирмы;

— хищение информации, содержащейся в документах, чертежах, на дискетах или компакт-дисках;

— использование услуг проституток с целью последующего шантажа сотрудников фирмы;

— метод «подсадной утки» (коммуникабельной женщины или компанейского мужчины, способных установить тесный контакт с сотрудником фирмы с целью выведать у него секретную информацию);

— подкуп служащих фирмы;

— взяточничество;

— компрометация руководящих сотрудников фирмы с целью развала всей системы экономической безопасности конкурирующей фирмы;

— использование внедренных в фирму агентов;

— выведывание секретной информации под видом проверки уровня профессионализма сотрудников фирмы (например, при имитации предложения более выгодных условий работы).

Вопреки распространенному мнению большую часть всей информации заинтересованная сторона получает из открытых источников – это гораздо дешевле и проще.

Система обеспечения информационной безопасности организации

Именно фирма, а не предприятия выступает на рынке как хозяйственный субъект, участвующий в конкурентной борьбе, осуществляющий научно-техническую и ценовую политику, распределение прибыли.

Организация как процесс представляет собой совокупность действий, ведущих к образованию и совершенствованию взаимосвязей между частями целого, регулируется законами о труде, процессуальными и уголовными кодексами. Организация представляет собой сознательно координируемое социальное образование с определенными границами, которое функционирует на относительно постоянной основе для достижения общей цели или целей. Под словами «сознательно координируемое» понимается управление, под «социальным образованием» — то, что организация состоит из отдельных людей или их групп, взаимодействующих между собой.


Как явление она представляет физическое объединение реальных элементов (людей, техники) для выполнения программы или цели. В России организации как явления регулируются Гражданским кодексом РФ. Как воздействие – это упорядочение или налаживание какого-либо объекта.

2.Угроза безопасности — это совокупность факторов и условий, создающих опасность для нормального функционирования объектов экономики в соответствии с их целями и задачами.

Программа обеспечения информационной безопасности предприятия

Нездоровая или недобросовестная конкуренция имеет несколько понятий и по нормам международного права разделяется на три вида:

  • Когда деятельность одной коммерческой структуры пытаются представить потребителю под видом другой;

  • Дискредитирование репутации коммерческого предприятия путем распространения ложной информации;

  • Неправомерное и некорректное использование торговых обозначений, вводящих потребителя в заблуждение.

В западных странах существуют законодательные акты по ведению недобросовестной конкуренции, фирменным наименованиям, товарным обозначениям и препятствованию обеспечению безопасности информации, нарушение которых ведет к определенной юридической ответственности.

Система управления инцидентами как основа обеспечения информационной безопасности организации

Инфоinfo
Необходимое условие для правильной работы на рабочих станциях и предотвращения потери и повреждения информации. От навыков владения ПК персоналом зависит работа всего предприятия, в плане правильности выполнения.

Установка на компьютеры антивирусной программыESET NOD. Это позволит избежать заражения компьютеров различными вредоносными программами, называемыми вирусы.


Важноimportant
Что очень актуально для данного предприятия, так как несколько ПК имеет доступ в Интернет и сотрудники для обмена информацией пользуются флеш-носителями.

Ведение контроля за сотрудниками, с помощью видеокамер. Это позволит сократить случаи халатного обращения с оборудованием, риск краж оборудования и их порчи, а также позволит контролировать «вынос» служебной информации с территории общества.

Разработка нормативного документа «Меры защиты информации в ООО «Овен» и ответственность за их нарушения», который бы соответствовали действующему законодательству РФ и определит риски, нарушения и ответственность за эти нарушения (штрафы, наказания). А также внесения соответствующей графы в трудовой договор общества, что он ознакомлен и обязуется выполнять положения данного документа.

Предложенные мери несут в себе не только положительные моменты, такие как устранение основных проблем на предприятии, касающихся информационной безопасности.


Но при этом они потребуют дополнительных вложений на обучение персонала, разработку нормативных документов, касающихся политики безопасности.

Конечно, проблема утечек появилась не сегодня, промышленный шпионаж и переманивание квалифицированных специалистов существовали еще и до эпохи компьютеризации. Но именно с появлением ПК и интернета возникли новые приемы незаконного получения информации. Если раньше для этого необходимо было украсть и вынести из фирмы целые кипы бумажных документов, то сейчас огромные объемы важных сведений можно запросто слить на флэшку, помещающуюся в портмоне, отправить по сети, прибегнув к использованию семейства руткитов, троянов, бэкдоров, кейлоггеров и ботнетов, либо просто уничтожить посредством вирусов, устроив диверсию.

Чаще всего «утекают» из компаний документы финансового характера, технологические и конструкторские разработки, логины и пароли для входа в сеть других организаций. Но серьезный вред может нанести и утечка персональных данных сотрудников. Особенно это актуально для западных стран, где судебные иски из-за таких утечек нередко приводят к огромным штрафам, после выплаты которых компании терпят серьезные убытки.

Случается и так, что утечка приносит вред компании через несколько месяцев или лет после того, как она произошла, попав в руки конкурентам или журналистам. Именно поэтому защита должна быть комплексной. Не стоит делить информацию на очень важную и менее важную.

С помощью электронной системы проводится территориальная защита объекта, организовывается пропускной режим, охрана помещений, наблюдение, пожарная безопасность и сигнализационные устройства.

Самая элементарная система электронной защиты состоит из датчиков, сигналы которых обрабатываются микропроцессорами, электронных ключей, биометрических устройств для идентификации человека и других интеллектуальных систем.

Защита оборудования, входящего в общую автоматизированную систему информационной безопасности, и переносных устройств (магнитных лент или флешек) осуществляется с помощью таких механизмов, как:

  • Замковые системы (механические, радиоуправляемые, кодовые, с микропроцессором), которые устанавливаются на сейфы, двери, ставни, системные блоки и другие устройства;

  • Микровыключатели, с помощью которых фиксируется открывание и закрывание окон и дверей;

  • Инерционные датчики, которые используются в электросети, телефонных проводах, телекоммуникационных антеннах;

  • Наклейки из специальной фольги приклеивают на приборы, документы, системные блоки, узлы, что служит для них защитой от выноса за территорию организации или помещения.

Желание преуспеть заставляет людей соревноваться, соперничать или конкурировать. Конкуренция ставит предпринимателей в такие жесткие условия, когда приходится решать один вопрос: или ты победишь, или тебя пустят по миру. Третьего не дано, поскольку конкуренция и есть борьба во имя победы.

Вниманиеattention
Она способна порождать новые идеи и новые концепции, и поэтому предприниматель вынужден копить секреты и создавать структуры по их добыванию и защите

Информация в настоящее время приобрела коммерческую ценность, стала продуктом и товаром. Сфера предпринимательства, связанная со сбором, обработкой, классификацией, анализом и оформлением различных видов информации получила название эккаутинг.

Информация бывает открытой, полузакрытой (незасекреченной, но контролируемой теми, кого она касается) и секретной. Предоставление контрагентам не секретной информации, необходимой для принятия решения о сотрудничестве с данным предприятием, это нормальная практика.


Но утечка секретной информации угрожает стратегическим интересам предприятия и его существованию. С ее помощью можно вызвать конфликт с налоговыми, таможенными и другими государственными органами, причинить ущерб репутации, подорвать финансовую основу предприятия, подвергнуть предприятие шантажу криминальных структур.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *