Файл: Назначение и структура системы защиты информации коммерческого предприятия (Теоретические основы обеспечения ИБ предприятия).pdf

Современный мир почти невозможно представить без информационных технологий. А уж тем более трудно найти человека, у которого дома нет компьютера и интернета. Тут понятно, что не только взрослый а даже порой ребенок легко многое понимает в интернете, если ему необходимо что то почитать или скачать даже игру. Раньше не было настолько продвинутой техники как сейчас в настоящее время. Вполне можно предположить, что с каждым годом технологии будут все более актуальнее и весьма нужными. Да, бесспорно необходимо же защищать свои данные чтобы не было подобных угроз о вирусе в своих устройствах - но если же все таки появились тот немедленно избавляться. Взять такой пример- захотел пользователь скачать песню или же игру, то есть пользователь соответственно на проверенных сайтах будет все читать и скачивать а не на первом попавшимся сайте. Но, если же пользователь спешит и все таки решается выбрать случайный сайт, то чтобы было безопасно все скачивать и устанавливать - обязательно нужны программы-антивирусы, которые не допустят никаких вирусов при скачивании того или иного файла, так же приведем и некоторые другие примеры когда всё же необходима защита информации. В любом банке, в любом офисе и других зданиях стоят в ряд компьютеры, которые хранят разную важную информацию. Но эту информацию необходимо всячески защищать любыми надёжными способами. И тут нужно прилагать усилия не отдельным людям, а крупной организации или же предприятию, другими словами целой системе. Проблема обеспечения защиты информации - одна из самых актуальных в настоящее время. Ну что ж, будем пытаться разобраться какие проблемы бывают при сохранении информации и как избежать больших проблем.

Актуальность в данной теме показывает суть в том, что в организации необходимо всячески, любым путем, сохранять конфиденциальность информации при её хранении и так же обработке и ни в коем случае не допустить чужих пользователей к информации, ну а при наличии различных уязвимостей в системе защиты информации (СЗИ) возрастает огромная вероятность того, что информации будет все таки нанесён некий ущерб, что в принципе уже значит- к хорошему это явно не приведет. Далее, чтобы закрыть существующие на данный момент уязвимости и надёжнее сохранить конфиденциальную информацию – необходимо первым делом усовершенствовать СЗИ.

Целью данной курсовой работы является – совершенствовать интегральную СЗИ отдела разработки ПО средней коммерческой организации.

Задачи, которые поставлены в данной курсовой работе:

Анализ функционирования организации, её информационная система (ИС) и существующей СЗИ;
Оценка эффективности разработанного проекта;
Разработка проекта новой СЗИ для отдела разработки ПО.

В данной курсовой работе одна из новых функций связана с совершенствованием интегральной СЗИ отдела разработки ПО средней коммерческой организации.

Ну а на что же касается практической значимости - она обусловлена практическим применением усовершенствованной системы защиты информации в отделе разработки ПО средней коммерческой организации.

1. Теоретические основы обеспечения ИБ предприятия

1.1. Понятие информационной безопасности (ИБ)

Итак, сделав некоторые предположения, можно смело заявить, что информацию надо защищать по максимуму — то есть, другими словами, надо обеспечивать её безопасность.

Начнем подробнее разбирать определения, что такое информационная безопасность и что представляет собой информационная среда.

Информационная безопасность — это состояние защищенности информации. Она создает условия формирования безопасного состояния информационной среды общества, его использование, а также развитие в интересах граждан, предприятий и государства.
Информационная среда — это сама «сфера деятельности субъектов, которая связана с созданием, преобразованием и потреблением всей информации».

В принципе она делится на три составляющие:

Создание и распространение информации;
Потребление информации;
Создание информационных ресурсов, подготовка информационных продуктов, так же предоставление информационных услуг;

Объяснив другими словами, информационная безопасность — это состояние защищенности потребностей в информации граждан, общества и государства, при котором поддерживается их существование и динамичное развитие, которое не зависит от присутствия внутренних и внешних угроз для информации.

Информационная безопасность может быть определена некоторыми способностями, например, такими как общества, предприятия, индивида, а именно:

Позволение с конкретной вероятностью к необходимым и надежным информационным ресурсам и информационным потокам для обеспечения работоспособности, стабильного функционирования и прогресса в дальнейшем развитии;
Противодействие информационным угрозам и рискам, отрицательным информационным влияние на индивидуальное и общественное мнение, на компьютерные системы и сети, а также другие источники информации;
Сформирование навыков безопасного поведения;
Обеспечение непрерывной готовности к различным мерам в информационном противостоянии.

Защита информации и данных рассматривает перечень некоторых мероприятий - они направлены на поддержку безопасности данных и информации.

Информационная безопасность предприятия.

Для каждой компании, организации, или даже предприятия одна из главных задач является - обеспечение информационной безопасности. Если предприятие стабильно защищает свою информационную систему, то оно создает и надежную, безопасную среду для своей дальнейшей деятельности. Практически во многих компаниях бывают такого рода убытки, а именно - повреждение, утечка, неимение и кража информации. К примеру, рассмотрим некоторые причины, почему могут появиться подобные убытки:

от плохой репутации компании,
от затрат на восстановление стабильной работы или же от потери важной информации,
от отсутствия клиентов.

На данный момент сформировано 3 базовых задачи, которые должна обеспечивать информационная безопасность:

Конфиденциальность информации — незаконное разглашение, утечка, повреждение информации;
Доступность информации для всех пользователей — отказ в обслуживании и услугах, которые могут быть вызваны вирусами и действиями злоумышленников(хакеров);
Целостность данных — защита от незаконного создания и уничтожения данных, так же защита от сбоев, которые ведут к потере любой информации.

Если все - таки нарушится один из этих аспектов, то есть высокая вероятность того, что это приведет к невозможности нормальной работы на предприятии. А это очень плохо, если все работает нестабильно. На наличие любого из подобных нарушений могут повлиять угрозы таких типов: внутренние и внешние. Полноценная информационная безопасность компаний подразумевает постоянный контроль многих событий и состояний, которые вполне влияют на надежность защиты информации. Защита обязана осуществляться постоянно и охватывать весь жизненный цикл данных, то есть от ее поступления/ создания до уничтожения/утраты важности и актуальности.

Рассмотрим основные факторы, которые серьезно оказывают особое влияние на защиту информации и данных на предприятии (а так же организации):

Тенденция к росту компьютерных преступлений;
Приумножение сотрудничества компании с партнерами;
Тенденция к росту объемов информации предприятия, которая передается по доступным каналам связи;
Автоматизация бизнес-процессов.

Информационная защита предприятия определяется такими мерами, которые, в основном, направлены на безопасность важной информации. Эти меры делятся на две группы:

Технические,
Организационные.
Организационные меры заключаются в следующем: в формальных процедурах и правилах работы с важной информацией, информационными сервисами и средствами защиты.
Технические меры включают в себя: использование программных средств контроля доступа, мониторинг утечек и краж информации, антивирусную защиту, защиту от электромагнитных излучений и многое другое.

Задачи систем информационной безопасности компании действительно многогранны.

Например: обеспечение надежного хранения данных на различных носителях; защита информации, передаваемой по каналам связи; ограничение доступа к некоторым данным; создание резервных копий и другое.

Полноценное обеспечение информационной безопасности компании будет вполне реально только при условии того, если будет применен правильный подход к защите данных. В системе информационной безопасности обязательно нужно учитывать все актуальные в настоящее время угрозы и уязвимости.

1.2. Внутренние угрозы ИБ предприятия

Многие наверняка слышали знакомое всеми известное высказывание «Кто владеет информацией, тот владеет миром». А тот, кто владеет информацией о конкурентах, он получает беспрецедентные преимущества в борьбе с ними. Прогресс сделал компании зависимыми от информационных систем, а вместе с этим — уязвимыми к атакам хакеров, компьютерным вирусам, человеческому и государственному фактору до такой степени, что многие владельцы бизнеса уже не могут чувствовать себя в безопасности. Вопрос информационной безопасности становится «многогранным» в деятельности организации, но этот же прогресс предлагает решения, способные защитить данные от внешних посягательств.

Для многих компаний большая ценность и основной капитал – это лояльность клиентов. Репутация и доверие прорабатываются годами и в один миг могут быть потрачены полностью. Поэтому важность защиты информации о персональных данных клиентов компании – это не всегда столь важная задача, которая была бы важна в первую очередь. А ведь если эта информация попадет в открытые источники интернете? На сборку такой информации тратится достаточно много средств и много времени.

Главные угрозы информационной безопасности связаны с утерей данных о клиентах, а именно утечки подвергаются такими личными данными как:

предпочтение, дата рождения и другая информация;
номер кредитных карт;
история покупки;
телефоны и адреса;
пароль и логин от аккаунтов на сайте;

Многим понятно, что данные могут быть похищены с помощью взлома, другими словами- хакерской атаки, физического проникновения в места хранения информации и т.д. После этого у конкурентов есть большая возможность например извлечь из них информацию и выложить в интернет, тем самым нанеся «громкий» удар для репутации компании, но тут конечно зависит от намерений и способов получения защищаемой информации. Такие атаки дорого обходятся компаниям, которые достигают примерно несколько сотен миллионов долларов.

Чтобы защитить информацию от различного вида угроз, компании уделяют достаточно внимания на этот вопрос и тратят значительные ресурсы на противодействие им, покупая антивирусы, системы противодействия вторжениям и межсетевые экраны. Хорошо, что системные администраторы устрашают руководителей потенциальными угрозами (верно поступают). Действительно, чтобы захватить информацию о клиентах, злоумышленнику нужно провести дорогостоящую хакерскую атаку, которая с большой вероятностью может провалится, но другие способы взлома тоже дорогие, несут огромные риски и далеко на 100 % не гарантируют точный выполненный результат. Это даже в том случае, когда компания, которая подвергается атаке, использует в основном бесплатные программные средства информационной защиты. Количество утечек и ущерб от них возрастает можно сказать постоянно. По данным статистики такие утечки стоят компаниям в среднем около 2-10% недополученного дохода и это притом, что многие просто не знают того, что утечки конфиденциальных данных у них уже происходят. Причина этого внутри предприятия – собственные сотрудники. Есть известная поговорка – «во внешней среде есть сотни тех, кто хотел бы знать твои коммерческие тайны и единицы тех, кто мог бы их заполучить и этим людям еще нужно найти друг друга, а внутри компании есть сотни тех, кто владеет коммерческой информацией и единицы тех, кто хотят использовать ее во вред, и они уже встретились!». Внутренние угрозы настолько велики, что подчас в опасности само существование предприятия. Ведущие консалтинговые компании заявляют например, что в 2011 году 90% утечек произошли по вине персонала компаний. Почему сотрудники приводят к таким угрозам?