Организационные методы защиты: обучение персонала, повышение степени квалификации, проведение контроля деятельности

Отказ функционирования вычислительной техники и программного обеспечения

Техногенные угрозы, источниками которых являются различные технические неполадки.

Технические методы защиты: создание резервных копий

Технические (физические) методы защиты: использование источников бесперебойного питания

Аппаратно-программные методы защиты: система антивирусной защиты

Правовая защита информационного ресурса признана как на международных так и государственных уровнях. На международном уровне она определяется соответствующими конвенциями, декларациями и реализуется путем патентования, защитой авторских прав и лицензированием на определенный вид деятельности и владение соответствующей информацией.

На государственном уровне правовая защита реализуется государственными и ведомственными нормативными актами.

1. ФЗ «Об информации, информатизации и защите информации» от 20.02.1995 №24-ФЗ (ред. от 10.01.2003).

2. "Кодекс РФ об административных правонарушениях» от 30.12.2001 №195-ФЗ (принят ГД ФС РФ 20.12.2001) (ред. от 02.07.2005).

3. "Уголовный Кодекс РФ" от 13.06.1996 №63-ФЗ (принят ГД ФС РФ 24.05.1996) (ред. от 28.12.2004) (с изм. и доп., вступающими в силу с 30.01.2005).

4. Закон РФ от 21.07.1993 №5485-1 (ред. от 22.08.2004) "О государственной тайне".

5. ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года №149-ФЗ.

Организационные методы защиты информации

Это в первую очередь обучение персонала, повышение степени его квалификации, проведение контроля деятельности. Современные подходы к мотивации учитывают два важнейших момента в работе организаций: решающую роль образованного и квалифицированного персонала, обладающего необходимыми знаниями и свободой выбора; мотивированность самих работников к обучению и самообучению.

В кадровом бизнесе методы обучения подразделяют на два больших блока, а именно: обучение на рабочем месте (Trai№i№g O№the Job) и вне рабочего места (Trai№i№g Off the Job). Рассмотрим некоторые методы обучения:

Методы обучения на рабочем месте:

· Инструктаж - разъяснение приемов работы с их некоторой демонстрацией непосредственно на рабочем месте

· Метод усложняющихся заданий - предоставление сотруднику возможности выполнения сначала достаточно легких, а затем все более сложных заданий и производственных операций.

· Ротация персонала - эта регулярная сменяемость кадров в соответствии с принципом «найти нужному работнику нужное место».

· Использование специальных инструкций - метод заключается в том, что сотруднику до начал работы предоставляется возможность изучить специальную методику, инструкцию, положение и т.п.

Методы обучения вне рабочего места.

· Учеба в вузах, колледжах

· Электронное обучение

· Самостоятельное обучение

· Учебные материалы и т.д.



Технические (физические) методы защиты:

На мой взгляд, обязательным элементом системы информационной безопасности является введение системы пропусков, которая позволит контролировать посетителей приёмной и исключит возможности тайного проникновения в помещение и завладения ценным информационным ресурсом.

Кроме того, возможно установление систем наблюдения (видеокамер).

Создание резервных копий является важным средством защиты информации и при порче технических средств (умышленном или случайном), так и при отказе функционирования офисной техники.

Кроме того, использование источников бесперебойного питания позволит обеспечить нормальное рабочее состояние компьютеров и другой техники при различных критических условиях.

Аппаратно-программные методы защиты:

Внедрение системы индивидуальных паролей для каждого сотрудника, которая позволит ограничить доступ к техники посторонних лиц.

Кроме того, необходима регулярная смена паролей для уменьшения риска его взлома, а, следовательно, потери данных.

Система антивирусной защиты - внедрение программ антивирусов. Антивирусная защита - комплекс мер, направленных на предотвращение, обнаружение и обезвреживание действий компьютерного вируса при помощи антивирусных программ. Вирусные программы могут нанести существенный ущерб предприятия в целом (потеря, модификация данных и др.).

Чтобы уберечь компьютер от взломов, атак и воровства информации необходимо обеспечить компьютер надежной защитой, следовательно, нужно установить специальную программу, которая возьмет на себя контроль над всеми портами и сможет оперативно оповестить нас об атаке, а то и просто отразить ее. Такие программы называются файрволлами (firewall) или брандмауэрами. Обнаружив попытку несанкционированного проникновения в компьютер, программа может просто подать сигнал тревоги, а может сразу заблокировать доступ нападающим.

Необходимая проектная документация:

· Концепция политики безопасности (Приложение 1).

· Инструкция по организации парольной защиты (Приложение 2).

· Инструкция по организации системы пропусков.

· Инструкция по организации антивирусной защиты.



6. Определение остаточного риска информационной безопасности

Определим остаточный риск для информационных угроз, выделенных в результате ранжирования. Для этого необходимо оценить, на сколько средство защиты способно снизить риск по шкале отражения угроз информационной безопасности. Полученный результат сведем в таблицу.

Остаточный риск

Вид угроз информационной безопасности	Угроза	Оценка риска до	Величина парирования	Оценка риска после
Искусственные преднамеренные угрозы	Внедрение агентов в число персонала системы, либо вербовки путем подкупа с целью завладения конфиденциальной информацией или полномочиями лиц, обладающих этой информацией	161,96	2	80,98
	Физическое разрушение системы (путем взрыва, поджога и т.п.) или вывод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.)	345	3	115
	Несанкционированное копирование носителей информации	207	4	51,75
	Хищение документации (распечаток, записей, документов и т.д.)	1196,2	2	598,1
Искусственные случайные угрозы	Ввод в систему ошибочных данных в силу некомпетентности	862,5	2	431,25
Техногенные угрозы	Отказ функционирования вычислительной техники и программного обеспечения	1380	3	460

Таким образом, по данным, приведенным в таблице, можно сделать вывод о том, что вводимые меры защиты ценного информационного ресурса являются целесообразными и эффективными. Величина рисков значительно уменьшилась с внедрением определенных мер защиты. На мой взгляд, на данном этапе организации системы безопасности, рассмотренные меры защиты информации являются достаточными.

= 4152,66

=1737,08

< , значит, выбор средств защиты является оправданным.



Заключение

В курсовой работе была разработана система комплексной информационной защиты для разрабатываемой информационной системы ООО «Нейрософт», что проявляется в снижении риска информационной безопасности после внедрения предложенных в работе средств защиты.



Список литературы

1. Баллод Б.А. Курс лекций по дисциплине «Информационная безопасность» ИГЭУ, Иваново 2009

2. Международный стандарт безопасности ISO 15408, интернет-сайт



Приложение 1

Разработка политики безопасности ООО "НЕЙРОСОФТ", 153032, г. Иваново, ул. Воронина, д. 5

Концепция обеспечения безопасности информации

Настоящая концепция предназначена для сотрудников ООО «Нейрософт» для организации системы информационной безопасности.

Термины, используемые в настоящей Концепции, их определения:

информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);

пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Назначение и правовая основа документа

Защите подлежит любая информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.

Данная концепция определяет общее представление системы безопасности информационного ресурса организации, цели, задачи и основные принципы информационной безопасности.

Концепция обеспечения информационной безопасности предназначена для:

ь организации и проведения единой политики в области обеспечения безопасности Информационной системы

ь разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности информации

ь координации деятельности сотрудников

Нормативно-правовой базой данной концепции являются:

ь Федеральный Закон от 20.02.1995 №24-ФЗ (ред. от 10.01.2003) "Об информации, информатизации и защите информации" (принят ГД ФС РФ 25.01.1995).

ь "Кодекс РФ Об административных правонарушениях" от 30.12.2001 №195-ФЗ (принят ГД ФС РФ 20.12.2001) (ред. от 02.07.2005).

ь "Уголовный кодекс РФ" от 13.06.1996 №63-ФЗ (принят ГД ФС РФ 24.05.1996) (ред. от 28.12.2004) (с изм. и доп., вступающими в силу с 30.01.2005).

ь Закон РФ от 21.07.1993 №5485-1 (ред. от 22.08.2004) "О государственной тайне»

ь Федеральный Закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года №149-ФЗ

Научно-методической основой Концепции является системный подход, предполагающий проведение исследований, разработку системы защиты информации и процессов ее обработки в Информационной Системе с единых методологических позиций с учетом всех факторов, оказывающих влияние на защиту информации, и с позиции комплексного применения различных мер и средств защиты.

1.2 Объекты защиты

Основными объектами информационной безопасности в информационной системе являются:



Профиль информации	Наименование сведений, документов и другой информации, составляющих коммерческую тайну
1. Производственная информация	1.1 Сведения о структуре производства и производственных мощностях. 1.2 Сведения о типе и размещении оборудования. 1.3 Сведения о запасах и движении сырья, материалов, комплектующих и готовой продукции за месяц. 1.4 Сведения о модификации и модернизации ранее известных технологий, процессов, оборудования. 1.5Перспективные планы развития производства. 1.6 Технические спецификации существующей и перспективной продукции.
2. Управленческая информация	2.1 Сведения о подготовке, принятии и исполнении отдельных решений руководства предприятия по производственным, научно-техническим, коммерческим, организационным и иным вопросам. 2.2 Предмет совещаний у руководства. 2.3 Сведения о целях, рассматриваемых вопросах, результатах, фактах проведения совещаний и заседаний органов управления предприятием.
3. Информация о рынке	3.1 Сведения о рыночной политике и планах. 3.2 Сведения о каналах и методах сбыта. 3.3 Сведения о политике сбыта. 3.4 Сведения о ценах, скидках, условиях договоров, спецификации продукции.
4. Финансовая информация	4.1 Сведения об источниках финансирования, финансовой устойчивости, размерах и условиях банковских кредитов. 4.2 Сведения о состоянии материально-технической базы ООО.
5. Информация по безопасности и персональным данным	5.1 Сведения о важных элементах систем безопасности, кодов и процедур доступа к информационным сетям и центрам; 5.2 Принципы организации защиты коммерческой тайны.
6. Научно-техническая информация	6.1 Новые технические, технологические и физические принципы, планируемые к использованию в продукции предприятия; 6.2 Программы НИР; 6.3 Новые алгоритмы; 6.4 Оригинальные программы.

Пользователи системы

Непосредственными конечными пользователями разрабатываемой системы будут являться администратор системы, сотрудники организации, работающие в сфере документационного обеспечения, президент ООО.



2. ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

Субъектами правоотношений при использовании Информационной Системы и обеспечении безопасности информации являются:

ь ООО «Нейрософт» во главе с Президентом ООО «Нейрософт»

ь должностные лица и сотрудники ООО, как пользователи и поставщики информации в информационную систему в соответствии с возложенными на них функциями

Перечисленные субъекты заинтересованы в обеспечении:

1) предотвращения несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременного обнаружения фактов несанкционированного доступа к информации;

3) предупреждения возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущения воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможности незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянного контроля за обеспечением уровня защищенности информации.

2.1 Цели защиты

Основной целью, на достижение которой направлены все положения настоящей Концепции, является защита субъектов информационных отношений от возможного нанесения им ощутимого материального, физического, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования ИС или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования.

2.2 Основные задачи системы обеспечения безопасности

Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и систем ее обработки:

доступность информации, то есть свойство системы (среды, средств и технологии ее обработки), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации и готовность соответствующих автоматизированных служб к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость;

целостность информации, то есть свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию).

конфиденциальность информации - субъективно определяемую (приписываемую) характеристику (свойство) информации, указывающую на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемую способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней.

Для достижения основной цели защиты и обеспечения указанных свойств информации и системы ее обработки система безопасности должна обеспечивать эффективное решение следующих задач:

ь защита от вмешательства в процесс функционирования Информационной Системы посторонних лиц;

ь разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам ИС (защита от несанкционированного доступа);

ь защита от несанкционированной модификации и контроль целостности информационной системы

ь защита системы от внедрения несанкционированных программ, включая компьютерные вирусы;

ь обеспечение аутентификации пользователей, участвующих в информационном обмене;

ь своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;

3. ТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ

С позиции системного подхода защита информации должна обеспечиваться с соблюдением ряда требований

Непрерывность - Защита информации должна быть непрерывной, т.е. рассматривать источники информации, каналы передач к месту хранения и обработки, системы предоставления информации, а также отходы информационной деятельности в виде испорченных носителей информации, либо модифицированных или уничтожаемых массивов

Плановость - Защита должна быть плановой. Любой службой должны разрабатываться планы защиты в сфере ее компетенции с учетом общих целей

Целенаправленность - Защита должна быть целенаправленной, при этом защищаться должно то, что может привести к нанесению конкретного ущерба субъектам информационной деятельности

Конкретность - Защита должна быть конкретной: защищаются конкретные данные, надлежащие охране с указанием возможных каналов реализации угроз.

Надежность - Защита должна быть надежной: методы и средства защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от форм их предоставления

Системность - Системный подход к построению системы защиты информации в предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информации.

При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения к информации.

Персональная ответственность

Предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

4. СРЕДСТВА ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ

Организационные

Организационные методы защиты в основном ориентированы на работу с персоналом, выбор местоположения и размещения объектов корпоративной сети, организацию систем физической и противопожарной защиты, организацию контроля выполнения принятых мер, возложение персональной ответственности за выполнение мер защиты

ь обучение персонала,

ь повышение степени квалификации,

ь проведение контроля деятельности

ь разработка организационной документации

Технические

Технические методы основаны на применении специальных технических средств защиты информации и контроля обстановки и дают значительный эффект при устранении угроз безопасности информации, связанных с действиями криминогенных элементов по добыванию информации незаконными техническими средствами.

ь организация охраны и режима работы ООО с целью исключения тайного проникновения на его территорию, контроля за перемещением по зданию сотрудников и посетителей, граждан (пропуски, видеоконтроль)

ь создание резервных копий

ь использование источников бесперебойного питания

Аппаратно-программные

Программно - аппаратные методы в основном нацелены на устранение угроз, непосредственно связанных с процессом обработки и передачи информации. Без этих методов невозможно построение целостной комплексной системы информационной безопасности.

ь Система антивирусной защиты

ь Внедрение системы индивидуальных паролей для каждого сотрудника для ограничения доступа к объектам

Правовые меры

К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.



Приложение 2.

Разработка инструкции по организации парольной защиты ООО "НЕЙРОСОФТ", 153032, г. Иваново, ул. Воронина, д. 5

Инструкция по организации парольной защиты

Настоящая инструкция предназначена для сотрудников ООО «Нейрософт» для организации системы информационной безопасности.

Данная инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей в информационной системе, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

Термины

информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;

информационная безопасность - защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.

1. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей и контроль за действиями исполнителей и обслуживающего персонала системы при работе с ними возлагается на администратора информационной системы, содержащих механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.

2. Личные пароли сотрудников должны генерироваться централизовано с учетом следующих требований:

ь длина пароля должна быть не менее 6 символов;

ь в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);

ь пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, дата рождения и т.д.), а также общепринятые сокращения (ПК, ЛВС, USER и т.п.);

ь при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4 позициях;

ь сотрудник не должны разглашать свой личный пароль.

3. Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.

4. Ответственность за правильность централизованного формирования паролей и распределения возлагается на уполномоченного сотрудника (администратора).

5. Полная плановая смена паролей сотрудников должна проводиться регулярно, не реже одного раза в полгода.

6. Внеплановая смена личного пароля или удаление учетной записи пользователя информационной системы в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) должна производиться администратором информационной системы немедленно.

7. Полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и другие обстоятельства) администраторов средств защиты и других сотрудников, которым были предоставлены соответствующие полномочия по управлению парольной защитой информационной системы.

8. Не допускается хранение личных паролей сотрудников на бумажных носителях или другом виде, доступном посторонним лицам.

9. Ответственность за обеспечение конфиденциальности значений своих паролей возлагается на сотрудника.

10. Повседневный контроль за действиями пользователей системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на администратора.

11. Действия пользователя, связанные с использованием чужой учетной записи и пароля, рассматриваются как нарушение информационной безопасности с привлечением нарушителя к административной ответственности.

Размещено на Allbest.ru