Файл: Назначение и структура системы защиты информации коммерческого предприятия (Теоретические основы обеспечения ИБ предприятия).pdf
Добавлен: 14.03.2024
Просмотров: 32
Скачиваний: 0
СОДЕРЖАНИЕ
1. Теоретические основы обеспечения ИБ предприятия
1.1. Понятие информационной безопасности (ИБ)
1.2. Внутренние угрозы ИБ предприятия
2.1. Теоретическое обоснование совершенствования интегральной СЗИ
2.2. Структурно-функциональная схема проекта
2.3 Выбор целесообразных мер для реализации проекта
3. Оценка эффективности проекта
3.1. Функциональная оценка эффективности интегральной СЗИ
Содержание:
Введение
Современный мир почти невозможно представить без информационных технологий. А уж тем более трудно найти человека, у которого дома нет компьютера и интернета. Тут понятно, что не только взрослый а даже порой ребенок легко многое понимает в интернете, если ему необходимо что то почитать или скачать даже игру. Раньше не было настолько продвинутой техники как сейчас в настоящее время. Вполне можно предположить, что с каждым годом технологии будут все более актуальнее и весьма нужными. Да, бесспорно необходимо же защищать свои данные чтобы не было подобных угроз о вирусе в своих устройствах - но если же все таки появились тот немедленно избавляться. Взять такой пример- захотел пользователь скачать песню или же игру, то есть пользователь соответственно на проверенных сайтах будет все читать и скачивать а не на первом попавшимся сайте. Но, если же пользователь спешит и все таки решается выбрать случайный сайт, то чтобы было безопасно все скачивать и устанавливать - обязательно нужны программы-антивирусы, которые не допустят никаких вирусов при скачивании того или иного файла, так же приведем и некоторые другие примеры когда всё же необходима защита информации. В любом банке, в любом офисе и других зданиях стоят в ряд компьютеры, которые хранят разную важную информацию. Но эту информацию необходимо всячески защищать любыми надёжными способами. И тут нужно прилагать усилия не отдельным людям, а крупной организации или же предприятию, другими словами целой системе. Проблема обеспечения защиты информации - одна из самых актуальных в настоящее время. Ну что ж, будем пытаться разобраться какие проблемы бывают при сохранении информации и как избежать больших проблем.
Актуальность в данной теме показывает суть в том, что в организации необходимо всячески, любым путем, сохранять конфиденциальность информации при её хранении и так же обработке и ни в коем случае не допустить чужих пользователей к информации, ну а при наличии различных уязвимостей в системе защиты информации (СЗИ) возрастает огромная вероятность того, что информации будет все таки нанесён некий ущерб, что в принципе уже значит- к хорошему это явно не приведет. Далее, чтобы закрыть существующие на данный момент уязвимости и надёжнее сохранить конфиденциальную информацию – необходимо первым делом усовершенствовать СЗИ.
Целью данной курсовой работы является – совершенствовать интегральную СЗИ отдела разработки ПО средней коммерческой организации.
Задачи, которые поставлены в данной курсовой работе:
- Анализ функционирования организации, её информационная система (ИС) и существующей СЗИ;
- Оценка эффективности разработанного проекта;
- Разработка проекта новой СЗИ для отдела разработки ПО.
В данной курсовой работе одна из новых функций связана с совершенствованием интегральной СЗИ отдела разработки ПО средней коммерческой организации.
Ну а на что же касается практической значимости - она обусловлена практическим применением усовершенствованной системы защиты информации в отделе разработки ПО средней коммерческой организации.
1. Теоретические основы обеспечения ИБ предприятия
1.1. Понятие информационной безопасности (ИБ)
Итак, сделав некоторые предположения, можно смело заявить, что информацию надо защищать по максимуму — то есть, другими словами, надо обеспечивать её безопасность.
Начнем подробнее разбирать определения, что такое информационная безопасность и что представляет собой информационная среда.
- Информационная безопасность — это состояние защищенности информации. Она создает условия формирования безопасного состояния информационной среды общества, его использование, а также развитие в интересах граждан, предприятий и государства.
- Информационная среда — это сама «сфера деятельности субъектов, которая связана с созданием, преобразованием и потреблением всей информации».
В принципе она делится на три составляющие:
- Создание и распространение информации;
- Потребление информации;
- Создание информационных ресурсов, подготовка информационных продуктов, так же предоставление информационных услуг;
Объяснив другими словами, информационная безопасность — это состояние защищенности потребностей в информации граждан, общества и государства, при котором поддерживается их существование и динамичное развитие, которое не зависит от присутствия внутренних и внешних угроз для информации.
Информационная безопасность может быть определена некоторыми способностями, например, такими как общества, предприятия, индивида, а именно:
- Позволение с конкретной вероятностью к необходимым и надежным информационным ресурсам и информационным потокам для обеспечения работоспособности, стабильного функционирования и прогресса в дальнейшем развитии;
- Противодействие информационным угрозам и рискам, отрицательным информационным влияние на индивидуальное и общественное мнение, на компьютерные системы и сети, а также другие источники информации;
- Сформирование навыков безопасного поведения;
- Обеспечение непрерывной готовности к различным мерам в информационном противостоянии.
Защита информации и данных рассматривает перечень некоторых мероприятий - они направлены на поддержку безопасности данных и информации.
- Информационная безопасность предприятия.
Для каждой компании, организации, или даже предприятия одна из главных задач является - обеспечение информационной безопасности. Если предприятие стабильно защищает свою информационную систему, то оно создает и надежную, безопасную среду для своей дальнейшей деятельности. Практически во многих компаниях бывают такого рода убытки, а именно - повреждение, утечка, неимение и кража информации. К примеру, рассмотрим некоторые причины, почему могут появиться подобные убытки:
- от плохой репутации компании,
- от затрат на восстановление стабильной работы или же от потери важной информации,
- от отсутствия клиентов.
На данный момент сформировано 3 базовых задачи, которые должна обеспечивать информационная безопасность:
- Конфиденциальность информации — незаконное разглашение, утечка, повреждение информации;
- Доступность информации для всех пользователей — отказ в обслуживании и услугах, которые могут быть вызваны вирусами и действиями злоумышленников(хакеров);
- Целостность данных — защита от незаконного создания и уничтожения данных, так же защита от сбоев, которые ведут к потере любой информации.
Если все - таки нарушится один из этих аспектов, то есть высокая вероятность того, что это приведет к невозможности нормальной работы на предприятии. А это очень плохо, если все работает нестабильно. На наличие любого из подобных нарушений могут повлиять угрозы таких типов: внутренние и внешние. Полноценная информационная безопасность компаний подразумевает постоянный контроль многих событий и состояний, которые вполне влияют на надежность защиты информации. Защита обязана осуществляться постоянно и охватывать весь жизненный цикл данных, то есть от ее поступления/ создания до уничтожения/утраты важности и актуальности.
Рассмотрим основные факторы, которые серьезно оказывают особое влияние на защиту информации и данных на предприятии (а так же организации):
- Тенденция к росту компьютерных преступлений;
- Приумножение сотрудничества компании с партнерами;
- Тенденция к росту объемов информации предприятия, которая передается по доступным каналам связи;
- Автоматизация бизнес-процессов.
Информационная защита предприятия определяется такими мерами, которые, в основном, направлены на безопасность важной информации. Эти меры делятся на две группы:
- Технические,
- Организационные.
- Организационные меры заключаются в следующем: в формальных процедурах и правилах работы с важной информацией, информационными сервисами и средствами защиты.
- Технические меры включают в себя: использование программных средств контроля доступа, мониторинг утечек и краж информации, антивирусную защиту, защиту от электромагнитных излучений и многое другое.
Задачи систем информационной безопасности компании действительно многогранны.
Например: обеспечение надежного хранения данных на различных носителях; защита информации, передаваемой по каналам связи; ограничение доступа к некоторым данным; создание резервных копий и другое.
Полноценное обеспечение информационной безопасности компании будет вполне реально только при условии того, если будет применен правильный подход к защите данных. В системе информационной безопасности обязательно нужно учитывать все актуальные в настоящее время угрозы и уязвимости.
1.2. Внутренние угрозы ИБ предприятия
Многие наверняка слышали знакомое всеми известное высказывание «Кто владеет информацией, тот владеет миром». А тот, кто владеет информацией о конкурентах, он получает беспрецедентные преимущества в борьбе с ними. Прогресс сделал компании зависимыми от информационных систем, а вместе с этим — уязвимыми к атакам хакеров, компьютерным вирусам, человеческому и государственному фактору до такой степени, что многие владельцы бизнеса уже не могут чувствовать себя в безопасности. Вопрос информационной безопасности становится «многогранным» в деятельности организации, но этот же прогресс предлагает решения, способные защитить данные от внешних посягательств.
Для многих компаний большая ценность и основной капитал – это лояльность клиентов. Репутация и доверие прорабатываются годами и в один миг могут быть потрачены полностью. Поэтому важность защиты информации о персональных данных клиентов компании – это не всегда столь важная задача, которая была бы важна в первую очередь. А ведь если эта информация попадет в открытые источники интернете? На сборку такой информации тратится достаточно много средств и много времени.
Главные угрозы информационной безопасности связаны с утерей данных о клиентах, а именно утечки подвергаются такими личными данными как:
- предпочтение, дата рождения и другая информация;
- номер кредитных карт;
- история покупки;
- телефоны и адреса;
- пароль и логин от аккаунтов на сайте;
Многим понятно, что данные могут быть похищены с помощью взлома, другими словами- хакерской атаки, физического проникновения в места хранения информации и т.д. После этого у конкурентов есть большая возможность например извлечь из них информацию и выложить в интернет, тем самым нанеся «громкий» удар для репутации компании, но тут конечно зависит от намерений и способов получения защищаемой информации. Такие атаки дорого обходятся компаниям, которые достигают примерно несколько сотен миллионов долларов.
Чтобы защитить информацию от различного вида угроз, компании уделяют достаточно внимания на этот вопрос и тратят значительные ресурсы на противодействие им, покупая антивирусы, системы противодействия вторжениям и межсетевые экраны. Хорошо, что системные администраторы устрашают руководителей потенциальными угрозами (верно поступают). Действительно, чтобы захватить информацию о клиентах, злоумышленнику нужно провести дорогостоящую хакерскую атаку, которая с большой вероятностью может провалится, но другие способы взлома тоже дорогие, несут огромные риски и далеко на 100 % не гарантируют точный выполненный результат. Это даже в том случае, когда компания, которая подвергается атаке, использует в основном бесплатные программные средства информационной защиты. Количество утечек и ущерб от них возрастает можно сказать постоянно. По данным статистики такие утечки стоят компаниям в среднем около 2-10% недополученного дохода и это притом, что многие просто не знают того, что утечки конфиденциальных данных у них уже происходят. Причина этого внутри предприятия – собственные сотрудники. Есть известная поговорка – «во внешней среде есть сотни тех, кто хотел бы знать твои коммерческие тайны и единицы тех, кто мог бы их заполучить и этим людям еще нужно найти друг друга, а внутри компании есть сотни тех, кто владеет коммерческой информацией и единицы тех, кто хотят использовать ее во вред, и они уже встретились!». Внутренние угрозы настолько велики, что подчас в опасности само существование предприятия. Ведущие консалтинговые компании заявляют например, что в 2011 году 90% утечек произошли по вине персонала компаний. Почему сотрудники приводят к таким угрозам?