Проблемы защиты информации на предприяти

Проблемы защиты информации на предприятии малого бизнеса в сфере консалтинговых услуг

Итак, в нашей работе мы рассмотрели бухгалтерский и связанные отделы ООО «Престиж».
Мы провели описание и оценку уровня защиты от информационных угроз данного предприятия, а также предложили дополнительные технические меры для повышения информационной защищённости объекта.
В соответствии с выявленными недостатками были предложены меры их устранения, в результате выполнения которых предприятие позволит повысить эффективность средств защиты и сократит риск потери и искажения информации. Следует обратить внимание на то, что только при совместном взаимодействии персонала, программно-аппаратных средств и средств защиты информации возможна эффективность данных мероприятий.
Обследуемое предприятие ООО «Престиж» циркулирует большим количеством информации конфиденциального характера, доступ к которой необходимо ограничить. Поэтому, целью являлась разработка такой системы по защите информации, при которой угрозы утечки конфиденциальной информации были бы минимальны.
В дополнение к проделанной работе мы создали систему оценок уровня информационной защищённости предприятия, по которой можно определить, готово ли предприятие к безопасной работе, или же его защиту ещё надо модернизировать.

Содержание

ВВЕДЕНИЕ    4
ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ЗАЩИТЫ ИНФОРМАЦИИ    7
1.1 Сущность информации и ее классификация    7
1.2 Эволюция термина «информационная безопасность» и понятие конфиденциальности    10
1.3 Каналы распространения и утечки конфиденциальной информации    14
1.4 Угрозы и система защиты конфиденциальной информации    17
1.5 Нормативно-методическая база конфиденциального делопроизводства    27
1.6 Организация доступа и порядок работы персонала с конфиденциальными сведениями, документами и базами данных    31
1.7 Технологические основы обработки конфиденциальных документов    40
ГЛАВА 2 АНАЛИЗ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИ    48
2.1 Описание объекта защиты    48
2.1.1 Характер деятельности    48
2.1.2 Иерархическая схема сотрудников    48
2.1.3 План и перечень помещений объекта    49
2.2 Определение типовых компонентов организации    50
2.2.1 Список сотрудников предприятия    50
2.2.2 Служебные функции сотрудников предприятия    50
2.2.3 Схема информационных потоков предприятия    51
2.2.4 Иерархическая структура сотрудников предприятия    52
2.3 Анализ и характеристика информационных ресурсов предприятия    53
2.4 Определение дестабилизирующих воздействий на целостность информационной системы предприятия    54
2.4.1 Примеры факторов, оказывающих дестабилизирующее воздействие    54
2.4.2 Факторы дестабилизирующего воздействия ООО «Престиж»    56
2.5 Выявление нарушения целостности информационной системы    58
2.5.1 Теоретические данные    58
2.5.2 Способы контроля за целостностью информационной системы    59
2.6 Состав технических средств, ориентированных на работу с информацией    65
2.7 Состав методов и средств информационной защиты, используемой на объекте    65
ГЛАВА 3 СОВЕРШЕНСТВОВАНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ    67
3.1 Недостатки в системе защиты информации    67
3.2 Цель и задачи системы информационной безопасности    68
3.3 Мероприятия и средства по совершенствованию системы информационной безопасности    70
3.3.1 Модель информационной системы с позиции безопасности    70
3.3.2 Моделирование управления доступом к служебной информации. Матрица полномочного и избирательного доступа    72
3.3.3 Организационные меры по защите информации    81
3.3.4 Совершенствование технических мер защиты информации    82
3.4 Эффективность предложенных мероприятий    82
ЗАКЛЮЧЕНИЕ    84
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ    85

Введение

Актуальность проблемы защиты информации сегодня не вызывает сомнений. Успех современной компании и ее развитие в условиях острой конкуренции в значительной степени зависят от применения информационных технологий, а следовательно, от степени обеспечения информационной безопасности.
Любое предприятие располагает различными видами информации, представляющими интерес для злоумышленников. Прежде всего, это коммерческие данные, информация, являющаяся интеллектуальной собственностью предприятия и конфиденциальные данные.
Поэтому защите информации от неправомерного овладения ею отводится весьма значительное место. При этом «целями защиты информации являются: предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствие с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения».
Как видно из этого определения целей защиты, информационная безопасность  довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита.
Для того чтобы отразить подход организации к защите своих информационных активов необходимо разработать политику информационной безопасности. Актуальность данной тематики просто невероятна  буквально каждое предприятие должно осознать необходимость поддержания соответствующего режима безопасности и выделения на эти цели значительных ресурсов.
Политика информационной безопасности  свод документов, в которых рассматриваются вопросы организации, стратегии, методов и процедур в отношении конфиденциальности, целостности и доступности информационных ресурсов предприятия. Политика безопасности строится на основе анализа рисков  процесса определения угроз безопасности системы и отдельным ее компонентам, определение их характеристик и потенциального ущерба.
Конечная цель разработки политики информационной безопасности  обеспечить целостность, доступность и конфиденциальность для каждого информационного ресурса.
Обследуемое предприятие ООО «Престиж» циркулирует большое количество информации конфиденциального характера, доступ к которой необходимо ограничить. Поэтому, целью будет являться разработка такой системы по защите информации, при которой угрозы утечки конфиденциальной информации будут минимальны.
Приемы и способы исследования
При изучении всей структуры предприятия использовались следующие методы:
•    аналитический;
•    сбор документов;
•    интервьюирование.
Аналитический метод  основан на анализе собранной информации за конкретный период. Он включает: анализ конкретного рабочего процесса, разделение его на элементы, проектирование рациональных режимов работы оборудования, организации труда и необходимых затрат времени по элементам трудового процесса, установление норм на операции.
Сбор (изучение) документооборота  сбор документов осуществлялся на всех этапах проведения обследования. Документы являются обоснованием и обеспечением создаваемой модели деятельности и документооборота.
Интервьюирование  важнейший и необходимый метод обследования, только с его помощью возможно разобраться во всех тонкостях применяемых на предприятии технологий. Современное предприятие  сложнейшая система, как оно функционирует, не знает ни один человек. Интервьюирование являлось наиболее сложной задачей: необходимо найти контакт с сотрудником и направить беседу в необходимое для аналитика русло.
На основе собранной информации проводился анализ информационной безопасности предприятия.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1.    Свободная онлайн-энциклопедия Википедия [Электронный ресурс].  Режим доступа: http://ru.wikipedia.org/
2.    Васильев, Г. Российский рынок информационной безопасности: новые тенденции / Г. Васильев // Финансовая газета.  январь 2013.  № 5.
3.    Бабкин В.В. Модель нарушителя информационной безопасности  превенция появления самого нарушителя // В.В. Бабкин // Управление в кредитной организации.  сентябрь-октябрь 2012.  № 5.
4.    Волков, П. Системы обеспечения информационной безопасности как часть корпоративной культуры современной организации / П. Волков // Финансовая газета.  август 2009.  № 34.
5.    Вус М.А., Морозов В.П. Информационно-коммерческая безопасность защита коммерческой тайны.  Санкт-Петербург, 1993;
6.    Галатенко, В.А. Основы информационной безопасности.  М.: Интуит, 2007.
7.    Гамза В.А., Ткачук И.Б. Безопасность коммерческого банка;
8.    Гениевский, П. Политика информационной безопасности против «человеческого фактора» / П. Гениевский // Банковское дело в Москве.  ноябрь 2005.  № 11.
9.    Громов, А. Роль информационной безопасности в обеспечении эффективного управления современной компанией / А. Громов, А. Коптелов // Финансовая газета.  июнь 2004.  № 24.
10.    Зегжда, Д.П., Ивашко, А.М. Основы безопасности информационных систем.  М.: Интуит, 2009.
11.    Основные правила работы архивов организаций.  М.: Росархив, ВНИИДАД, 2002.  152 с.
12.    СТБ П ИСО/МЭК 17799-2000/2004 Информационные технологии и безопасность. Правила управления информационной безопасностью.
13.    Санкина, Л.В. Делопроизводство в коммерческих организациях.  М.: МЦФЭР, 2013.  424 с.
14.    Сенчагов, В.К. Экономическая безопасность, геополитика, глобализм, самосохранение и развитие / В.К. Сенчагов.  М.: Финстатинформ, 2003.  120 с.
15.    Синецкий, Б.И. Основы коммерческой деятельности / Б.И. Синецкий.  М.: Юрист, 2012.  122 с.
16.    Соловьев, И.Н. Информационная и правовая составляющие безопасности предпринимательской деятельности / И.Н. Соловьев // Налоговый вестник.  ноябрь 2012.  № 54.
17.    Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации, учебное пособие, Москва 2001.
18.    Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность.  М.: «КомпанияАйТи», «ДМИ Пресс», 2004 г.
19.    Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
20.    Ярочкин В. Система безопасности фирмы;