Информационная безопасность предприятия на примере

Информационная безопасность предприятия

Информационная безопасность предприятия на примере
АУДИТ — ПОЛИТИКА — ЗАЩИТА

Под информационной безопасностью понимается защищённость информации и поддерживающей инфраструктуры. Пара строк с описанием нового продукта могут стоить предприятию миллионы рублей. Обеспечить информационную безопасность — значить не дать, чтобы эта пара строк ушла в руки злоумышленника. Так что же такое информация, и как её можно и нужно защищать.

Информация — это переговоры начальников в курилке и письма, приходящие и отсылаемые с корпоративных ящиков ежедневно сотнями и тысячами. Технические задания изделий, служебная документация, особенности организации и работы организации. Это то, что выбрасывается в мусорные вёдра и забывается на столах у коллег.

Но далеко не все сведения имеют важность, а значит прежде чем перейти к защите, нужно понять, что защищать, а что нет.

Сведения, распространение или уничтожение которых нанесёт ощутимый вред предприятию, называются активами. Всего у активов выделяют три основных свойства:

  • конфиденциальность;
  • целостность;
  • доступность.

Под конфиденциальностью понимается, что актив недоступен лицам без соответствующего доступа. Доступность означает, что сведения используется только сотрудниками, имеющими на это право. Целостность — это неповреждённость сведений. Таким образом, задача информационной безопасности сводится к обеспечению этих трёх свойств. Следующий этап после определения активов, которые требуется защищать — изучение угроз.

Угроза — это некоторые действия или события, в результате которых активам организации будет нанесён ущерб. Примеры угроз:

  • «слив» критически важной информации конкурентам;
  • внезапная смерть или уход специалиста, без которого проект нереализуем;
  • падение метеорита;
  • взлом компьютерной сети.

Если компьютерная сеть предприятия будет взломана, злоумышленник получит доступ к информации и нанесёт этим вред. При падении метеорита предприятие перестанет существовать. По убыткам второе событие во много раз превышает первое, но организации не переезжают в подземные бункеры, а ставит антивирусы. Причина — в разнице вероятностей реализации этих двух угроз.

Действительно, вероятность падения метеорита на здание мала. И постройка подземного бункера обойдётся в сотни раз дороже, чем аренда или покупка офисного здания. Между тем, в мире часто проводятся кибернетические атаки, и в свете последних событий — массового заражения вирусом Wanna Cry — приобретение средств защиты информации имеет смысл.

На любом предприятии реализован некоторый уровень информационной безопасности. Другой вопрос, насколько этот уровень высок. Работают ли сотрудники на компьютерах, защищённых паролями? Блокируют ли компьютеры, отходя от рабочего места? Легко ли постороннему человеку пройти на территорию организации? На эти и другие вопросы отвечает аудит информационной безопасности.

Аудит информационной безопасности

Итак, необходимость достижения безопасности информации не требует доказательств. Пришло время узнать, насколько эта безопасность обеспечивается. Информацию о защищённости предприятия получают, проводя аудит в следующих направлениях:

  • аттестация всего, связанного с информацией и поддерживающей инфраструктурой;
  • контроль защищённости информации;
  • исследования устройств на наличие побочных электромагнитных излучений и наводок;
  • проектирование с учётом необходимости соответствия требованиям информационной безопасности.

Аттестация, как правило, проводится сторонними организациями. Цель аттестации — выявить, соответствует ли объект предъявляемым требованиям безопасности. При аттестации могут быть выявлены уязвимости — особенности автоматизированных систем, систем связи, технических средств и тому подобных объектов, которые могут быть использованы злоумышленником.

Под контролем защищённости понимается изучение способов доступа к информационным ресурсам, а также наблюдение за эффективностью средств, обеспечивающих защиту этого ресурса. Примеры способов доступа:

  • прослушивание помещений с помощью «жучков»;
  • кража пароля с целью получения доступа к компьютеру сотрудника;
  • изучение мусорной корзины;
  • отсылка письма с трояном сотруднику, чтобы получить удалённый доступ к корпоративной сети;
  • расспросы сотрудников с целью выведать конфиденциальную информацию.

Использование этих путей получения информации в корыстных целях — потенциальная угроза. Поэтому необходимо наблюдать за ними, а также за работой системы защиты информации, которая предотвращает реализацию этих угроз.

С помощью анализа и обработки побочных излучений можно получить информацию конфиденциального характера. К примеру, использование телефонов, переговорных устройств порождает электромагнитные излучения. Эти излучения можно преобразовать в акустическую информацию. Затем и проводится аудит устройства на наличие таких излучений и подводок.

Некоторые помещения требуют повышенного уровня безопасности. Например, залы для переговоров, кабинеты высшего руководства. В таких помещениях важно учитывать расположение окон, дверей, силовых кабелей, розеток, толщина и исполнение стен.

Безопасно проектировать можно и автоматизированные системы: каким образом будут использоваться её составляющие, какие данные будут подаваться на вход и так далее. Безопасное проектирование — также важное направление аудита безопасности.

Различают внешний и внутренний аудит. И если внешний аудит проходит разово, желательно на регулярной основе, то внутренний проводится постоянно с целью актуализации информационной безопасности. При проведении аудита следует руководствоваться политикой безопасности, регламентирующей в общих чертах что защищать и как. Речь об этом документе пойдёт в следующем разделе.

В начало

Политика информационной безопасности предприятия

Уже были упомянуты активы, угрозы и уязвимости. Теперь пришло время разобраться, что такое риски и оценка рисков. Дело в том, что каждый актив имеет свою стоимость, а атака на актив — свои последствия.

Под угрозой понимается атака или событие (к примеру, природное явление), которое приносит ущерб активу. Но угрозе не совершиться, если нет уязвимости — особенности в защите предприятия, которую можно использовать ему во вред.

Риск — это вероятность совершения угрозы через существующую уязвимость, помноженная на сумму, в которую оценивается ущерб, нанесённый активу. Чем выше вероятность и выше стоимость, тем выше риск, и наоборот. Некоторые риски с высокой стоимостью ущерба, как падение метеорита, будут низкими из-за очень малой вероятности осуществления.

Поэтому в политике информационной безопасности не встретить ответственного за действия при падении метеорита лица — и при этом часто можно увидеть ответственного при кибернетической атаке.

Политика информационной безопасности предприятия — это документ, в котором:

  • определяются основные термины безопасности, например «информационная безопасность», «защита информации»;
  • прописываются основные риски и ситуации, возникающие при реализации рисков;
  • определяются общие требования для предотвращения реализации рисков, детектирования, реагирования и восстановления в случае, если риск всё-таки осуществится.
Читайте также  Декларация промышленной безопасности опо образец

В политике безопасности можно встретить список действий при приёме сотрудника на работу, описание контрольно-пропускной системы, требования, предъявляемые при работе с автоматизированными системами, и другие жизненно важные моменты. Именно этот документ используется в первую очередь при организации защиты информации.

В начало

Защита информационной безопасности

Следует разделять организационные и технические меры защиты. Ведь организация состоит в первую очередь из сотрудников, и только потом из зданий, мебели, компьютеров и другого имущества. Потому важная часть безопасности — это проведение семинаров, составление брошюр о защите собственных данных от утечки.

Это мотивация сотрудников, обеспечение им комфортных условий, а также наличие штрафных мер — важно балансировать между кнутом и пряником, чтобы не получить в результате сотрудника-злоумышленника.

Регулярное проведение аудитов и актуализирование политики безопасности также входит в организационные меры. Необходимо доводить до сотрудников изменения в политике для поддержания уровня защищённости. Уязвимости, выявленные при аудите технических средств, должны учитываться и при необходимости закрываться.

Под техническими методами понимается защита от несанкционированного доступа к информации. Среди технических методов распространены:

СЗИ позволяют контролировать корпоративную среду и быстро реагировать на события, отвечающие признакам реализации угрозы. Контрольно-пропускная система исключит возможность появления стороннего нарушителя, а система видеонаблюдения позволит среагировать или выяснить, если сотрудник делает то, что не должен делать, или находится там, где не должен быть.

Контроль доступа к информационным ресурсам не даст сотруднику безосновательно получить важные сведения, а блокировка излучений усложнит удалённое считывание информации.

Существуют комплексные СЗИ, при установке которые организация может быть уверена — она защищена со всех сторон. Но иногда достаточно установить качественный антивирус со встроенным межсетевым экраном, прочитать лекцию сотрудникам, нанять вахтёра и тем самым закрыть актуальные угрозы, не потратившись на излишний функционал.

Благодаря аудиту и политике информационной безопасности предприятие точно будет знать, что и как необходимо защитить. А значит, организует безопасность по принципу разумной достаточности.

В начало

© 2010-2018 г.г.. Все права защищены.
Материалы, представленные на сайте, имеют ознакомительно-информационный характер и не могут использоваться в качестве руководящих документов

Источник: https://labofbiznes.ru/bezopasnost_informacionnaja.html

Как происходит защита информации на предприятии?

Быстро развивающееся предприятие, равно как и гигант своего сегмента, заинтересовано в получении прибыли и ограждении себя от воздействия злоумышленников. Если ранее основной опасностью были кражи материальных ценностей, то на сегодняшний день основная роль хищений происходит в отношении ценной информации. Особенно остро ощущают утечку информации банки, управленческие организации, страховые предприятия. Защита информации на предприятии – это комплекс мер, обеспечивающий безопасность данных клиентов и сотрудников, важных электронных документов и разного рода информации, тайн.

Каждое предприятие оснащено компьютерной техникой и доступом к всемирной паутине Интернет. Злоумышленники умело подключаются практически к каждой составной этой системы и с помощью многочисленного арсенала (вирусы, вредоносное ПО, подбор паролей и другое) воруют ценную информацию. Система информационной безопасности должна внедряться в каждую организацию. Руководителям необходимо собрать, проанализировать и классифицировать все виды информации, которая нуждается в защите, и использовать надлежащую систему обеспечения безопасности.

Но этого будет мало, потому что, кроме техники, существует человеческий фактор, который также успешно может сливать информацию конкурентам. Важно правильно организовать защиту своего предприятия на всех уровнях. Для этих целей используется система менеджмента информационной безопасности, с помощью которой руководитель наладит непрерывный процесс мониторинга бизнеса и обеспечит высокий уровень безопасности своих данных.

Смотрите на видео рассказ пр современные методы защиты предприятия:

Масштабы проблемы

Далеко не все руководители считают необходимым защищать свои предприятия, мотивируя свое решение отсутствием важной информации в своем бизнесе. Это неправильно. С каждым днем интернет и компьютерные технологии прочно входят в повседневную жизнь каждого человека. Перечисление денег, оплата кредитов, переговоры с крупным клиентом – это малая толика важной информации, которая требует защиты уже сегодня.

Суть информационной безопасности на предприятии в том, что все данные шифруются по определенным алгоритмам вручную или с помощью компьютерного устройства. Алгоритм шифрования или постоянно меняющийся ключ к информации известны определенному количеству людей. Использование такого криптографического шифра позволяет обеспечить безопасность организации от большего количества злоумышленников, которые не смогут расшифровать информацию без знаний алгоритма.

Ведение деловой документации, переписка и общение в большинстве случаев происходят через электронную почту, программы для общения в режиме реального времени, различные Web-технологии. А это еще раз подчеркивает актуальность внедрения информационной безопасности предприятия в жизнь.

Не стоит удерживать свое внимание на внешних угрозах, ведь известно много случаев хищения информации и денежных средств организации своими же проверенными сотрудниками. И часто это те люди, которые организовали работу службы безопасности.

А раскрыть такое преступление тяжело, потому что ни у кого не возникнет подозрение обвинить человека с незапятнанной репутацией, да еще и работающего на свою компанию.

Важные данные могут уничтожить или исказить, использовать в личных целях или же выдать тайную информацию людям, от которых ее скрывали. Злоумышленники совершают кражи не только у крупных предприятий, но и у обычных граждан. А все привычные меры защиты становятся недееспособными в сфере компьютерных технологий, поэтому создание системы разных мероприятий по защите данных сможет защитить руководителя и его клиентов. Развитие новейших технологий не стоит на месте и постоянно улучшается, руководителям необходимо время от времени проводить совершенствование системы информационной безопасности на предприятии.

Основные источники угрозы

Понятие информационной безопасности на предприятии – это не только защита компьютерной информации, но и целая система по обеспечению безопасности всех видов информации, данных клиентов, сотрудников и целых подразделений предприятия.

Среди методов шифрования существует еще 1 способ скрытия данных – стеганография, когда скрывается не только информация, но и сам факт ее передачи. Именно этот способ нарушает права граждан на обеспечение целостной, конфиденциальной и достоверной информации.

В такой способ злоумышленники поставляют вредоносные программы, которые под видом программного обеспечения исполняют совершенно другую функцию. Список угроз для организации:

  • Сбои в работе аппаратов;
  • Мошенничество;
  • Искажение информации или небрежность сотрудника;
  • Использование сетевых анализаторов;
  • Подлог или хищение;
  • Электронные и программные «закладки»;
  • Использование электромагнитного излучения, радиоизлучения или акустических сигналов;
  • Вибрационные сигналы.
Читайте также  Паспорт безопасности опо кто должен делать

Источники угрозы могут быть внешними (люди, не принадлежащие к организации) и внутренними (персонал фирмы). Мошенники препятствуют пересылке сообщений или же меняют его содержимое, шантажируют сотрудников, подсоединяются к общей сети компании и совершают другие противоправные действия. Злоумышленники часто пользуются разными видами вредоносных программ, такими как:

  • Вирусы;
  • Троянские черви;
  • Игровые закладки, под которыми маскируются вирусные программы;
  • Ложные архиваторы, ускорители обмена данных и другие программы.

Вирусное ПО развивается быстро. Только совершенствование системы информационной безопасности на предприятии может уберечь от внешних и внутренних угроз, атак со стороны Интернет-сервисов, от управления ключами и паролями через сеть и большим количеством других угроз по хищению или искажению информации.

о современной обстановке в сфере информационной безопасности:

Пример мошеннических действий

Банк, имея в наличии денежные средства, счета и информацию о клиентах, заказывает у одного разработчика систему безопасности предприятия. Система состоит из основного ядра (обработка информации), базы данных, автоматизированного рабочего места пользователя и клиентов банка. Злоумышленник может подделать электронный документ, ввести код чужой банковской карты и снять с нее деньги.

На этапе ввода данных правонарушитель может выдать себя за другого человека, взломать пароль и ввести недостоверную информацию. При передаче информации предприятия мошенник прослушивает канал связи и расшифровывает данные, прерывает передачу и вмешивается с ложной информацией.

На этапе обработки данных он может использовать вирусное ПО, которое вмешивается в работу базы данных и дает возможность формирования фальшивых документов.

Совершенствование системы информационной безопасности на предприятии будет заключаться в проведении таких мер, как:

  • Ограничение доступа к тем модулям, которые исполняются и несут важную информацию;
  • Проведение сертификации и тестирования программных средств;
  • Быстрое устранение ошибок в работе программ;
  • Защита от несанкционированного доступа к автоматизированному рабочему месту удаленного клиента, надежная аутентификация;
  • Тщательное уничтожение мусора организации (физического и компьютерного);
  • Борьба с атаками хакеров.

Этот список с каждым днем увеличивается, поэтому система защиты должна постоянно обновляться.

Организация безопасности

Защита информации происходит по следующей схеме: анализ и выбор политики безопасности, применение средств защиты (технические и программные средства), разработка и внедрение организационных мер. Компания должна уделить внимание не только техническим методам защиты информации на предприятии, но и использовать специально разработанные нормативно-правовые документы. В систему правового обеспечения обязательно входят государственные законы, нормы и инструкции, документы предприятия (права и обязанности сотрудников, с обязательным указанием размера наказания за нарушение взятых на себя обязанностей).

Узнайте о том, почему сегодня опасно выполнять некоторые законы:

После создания правовой основы безопасности информации приступают к определению возможных источников угрозы. Проанализировав и оценив ущерб от каждого вида данных, необходимо составить список вероятных последствий и размер причиненного ущерба. Отдельно составляется перечень документов, данных и любой информации, которая подлежит защите, с обязательным выделением первоочередного уровня защиты. Собрав необходимую информацию, руководство создает отдельное подразделение по безопасности информации, с обязательным наличием в нем компьютерщиков и сотрудников службы безопасности.

Подразделение по обеспечению безопасности информации обязано действовать в нескольких направлениях: совершать защиту данных, не допускать несанкционированное проникновение к системной информации, обеспечивать целостность информации на предприятии во время непредвиденных ситуаций. Среди методов защиты можно выбрать:

  • Криптографический способ шифрования;
  • Электронную подпись;
  • Создание резервных копий системы и документов;
  • Парольную идентификацию;
  • Систему аудита и протоколирования;
  • Использование электронных ключей, смарт-карт;
  • Межсетевое экранирование.

В те помещения, где происходит работа с секретными данными, обязательно должен быть открыт доступ только тем людям, которые непосредственно за них отвечают. Таких сотрудников выбирает руководство, а перед началом работы они проходят обязательное тестирование. В целях безопасности информации в секретном помещении технический персонал не должен находиться без присмотра сотрудника.

Как комплексно обезопасить компанию?

Самостоятельно внедрить огромный комплекс мероприятий и увидеть проблемные места своего бизнеса очень тяжело, поэтому руководители часто приглашают специальные компании, которые помогают создать систему менеджмента информационной безопасности. В комплекс мер входит не просто пожелания руководителя и его сотрудников, а устоявшаяся модель управления безопасностью информации на предприятии.

По всем правилам руководство компании создает группу, которая будет отвечать за планирование работы системы менеджмента информационной безопасности. Для комплексного подхода к этому вопросу группа должна состоять из сотрудников организации (руководство, начальники и сотрудники подразделений) и сторонних консультантов.

Подразделение по планированию руководствуется в своей работе международными сертификатами ИСО.

Созданная группа собирает информацию, оценивает риски, выбирает политику системы безопасности. Результаты своих исследований вместе с предложениями передают на обсуждение руководству организации, которая утверждает план действий и разрешает внедрить и эксплуатировать систему менеджмента информационной безопасности. После утверждения плана действия подразделение начинает внедрять каждый пункт плана.

Система менеджмента на этапе реализации заключается в проведении учебных мероприятий по повышению квалификации сотрудников компании. Они знакомят работников с их обязанностями и системой наказаний за невыполнение. Затем подключаются и внедряются в работу организации необходимые компьютерные системы безопасности информации. На этом работа подразделения не заканчивается, наступает следующий этап контроля и анализа функционирования системы безопасности. Периодически происходит измерение эффективности выбранной политики и средств защиты информации.

Обязательным пунктом постоянного контроля является создание и ведение журнала произошедших событий. Время от времени подразделение производит переоценку рисков и аудит. Когда защита информации выстроена по определенному алгоритму, а все структуры четко выполняют инструкции, подразделение менеджмента безопасности информации выходит на последний этап функционирования – этап совершенствования.

Открытый урок с онлайн-трансляцией по защите информации:

Необходимые затраты

На создание и поддержку проекта по обеспечению безопасности информации потребуются определенные затраты. В стоимость войдут затраты на приобретение необходимого программного и технического обеспечения автоматизированной системы управления, стоимость перенастройки и поддержки существующего обеспечения, стоимость повышения квалификации и обучения персонала.

При обращении к организациям, обеспечивающим комплексное создание системы менеджмента безопасности, в общие затраты войдет стоимость услуг компании. Защита информации предприятия будет требовать постоянных расходов на поддержание контроля и совершенствования систем безопасности информации.

Стоимость работы целого подразделения – это лишь малая доля дохода предприятия, но в то же время колоссальная защита от несанкционированного взлома или вмешательства злоумышленников.

Оценка статьи:

Загрузка…

Источник: https://camafon.ru/informatsionnaya-bezopasnost/zashhita-na-predpriyatii

Совершенствование системы информационной безопасности на предприятии ООО

КУРСОВОЙ ПРОЕКТ

на тему:«Совершенствование системы информационнойбезопасности на предприятии ООО «УК«Ашатли»»

Читайте также  Паспорт безопасности опасного объекта пример

Введение

Тема разработкиполитики информационной безопасностина предприятиях, фирмах и организацияхактуальна в современном мире. Информационнаябезопасность (на уровне предприятий иорганизаций) – это защищённостьинформации и поддерживающей инфраструктурыот случайных или преднамеренныхвоздействий естественного илиискусственного характера, которые могутнанести недопустимый ущерб субъектаминформационных отношений.

На предприятиидействует современная локальнаявычислительная сеть и установленонеобходимое программное обеспечение,а также существует выход в Internet. Присуществовании такого количестваинформационных ресурсов, необходимо иналичие политики информационнойбезопасности.

На данном предприятиинеобходимо совершенствовать политикуинформационной безопасности дляминимизации угроз информационнойбезопасности, что и является целью дляданного курсового проекта.

Угрозаинформационной безопасности – этореальное или потенциальное действие,направленное на нарушения информационнойбезопасности, приводящие к материальномуи моральному ущербу.

1.Анализ информационной безопасностиООО «УК «Ашатли»

Агрохолдинг «Ашатли»– это динамично развивающаяся, вертикальнои горизонтально интегрированная группакомпаний сельскохозяйственногонаправления, участник проекта «ПокупайПермское!».

Агрохолдинг «Ашатли» создан в2007 году и на сегодняшний день имеетследующие направления деятельности:молочное животноводство, молочнаяпереработка, растениеводство, выращиваниеовощей, салатов и зелени в закрытомгрунте, цветоводство на гидропонике, атакже земельное направление и мяснойритейл.

Одним из преимуществ,как динамично развивающегося холдинга,является гибкий подход к спецификеработы и пожеланиям клиентов. Специалистыфирмы в состоянии выполнять работыпрактически любого объема и сложности.Разносторонний опыт работы и профессионализмсотрудников позволяет гарантироватьвыполнение любых задач в договорнойсрок.

МестонахождениеООО «Управляющая компания «Ашатли»

614010, Россия, Пермскийкрай, г. Пермь, Комсомольский проспект,70а

1.2Характеристика информационных ресурсовпредприятия

Согласно ФЗ «Обинформации, информационных технологияхи о защите информации», к общедоступнойинформации относятся общеизвестныесведения и иная информация, доступ ккоторой не ограничен. Общедоступнаяинформация может использоваться любымилицами по их усмотрению при соблюденииустановленных федеральными законамиограничений в отношении распространениятакой информации.

В ООО «УК «Ашатли»общедоступная информация представленана сайте компании или может бытьпредоставлена менеджерами кампании. Ктакой информации относится:

  • сведения, содержащиеся в уставе организации.

  • Финансовая отчетность;

  • Состав руководства и т.д.;

  • Информация о наградах и тендерах кампании;

  • Информация о вакансиях и сведения о численности и составе работников, об условиях их труда, о системе оплаты труда;

  • Контактные данные менеджеров кампании;

В организации такжеимеются сведения, на использование ираспространение которых введеныограничения их собственником, т.е.организацией. Такая информация называетсязащищаемой. К ней можно отнести сведения,касающиеся личной жизни работниковорганизации.

Следующий типинформации – это информация, представляющаякоммерческую тайну.

Согласно ФЗ «Обинформации, информационных технологияхи о защите информации», информация,составляющая коммерческую тайну (секретпроизводства), – сведения любогохарактера (производственные, технические,экономические, организационные идругие), в том числе о результатахинтеллектуальной деятельности внаучно-технической сфере, а такжесведения о способах осуществленияпрофессиональной деятельности, которыеимеют действительную или потенциальнуюкоммерческую ценность в силу неизвестностиих третьим лицам, к которым у третьихлиц нет свободного доступа на законномосновании, в отношении которых обладателемтаких сведений введен режим коммерческойтайны (п. 2 в ред. Федерального законаот 18.12.2006 №231-ФЗ)

К коммерческой тайнев ООО «УК «Ашатли» относится следующаяинформация:

  • Информация о личности работников, домашних адресов.

  • Информация о клиентах, их контактные и личные данные.

  • Информация о проектах, сроках и условиях договоров.

К информационнымресурсам фирмы относится документы иакты на бумажных носителях, локальнаявычислительная сеть.

1.3Угрозы информационной безопасности,характерные для данного предприятия

Под угрозойинформационной безопасности понимаетсяпотенциальная возможность нарушенияосновных качеств или свойств информации– доступности, целостности иконфиденциальности. Основным типомугрозы информационной безопасностидля данной фирмы можно считатьнесанкционированный доступ к информации,относящейся к коммерческой тайне.

По способам воздействияна объекты информационной безопасностиугрозы, актуальные для общества, подлежатследующей классификации: информационные,программные, физические,организационно-правовые.

К информационным угрозамотносятся:

  • несанкционированный доступ к информационным ресурсам;

  • хищение информации из архивов и баз данных;

  • противозаконный сбор и использование информации;

К программным угрозам относятся:

  • компьютерные вирусы и вредоносные программы;

К физическим угрозам относятся:

  • уничтожение или разрушение средств обработки информации и связи;

  • хищение носителей информации;

  • воздействие на персонал;

К организационно-правовым угрозамотносятся:

  • закупки несовершенных или устаревших информационных технологий и средств информатизации;

Предприятие ООО «УК«Ашатли» может быть подвержено такиминформационным угрозам, таким как

  • Взлому баз данных или несанкционированное использование коммерческой информации в целях передачи данных конкурентам предприятия, что может отрицательно сказаться на деятельности предприятия и в крайнем случае привести к его разорению, ликвидации.

  • Разглашение сотрудниками конфиденциальной информации, использование ее в корыстных целях для получения прибыли, т. к. многие служащие имеют доступ к базе данных 1С Управление торговлей.

  • Сотрудники предприятия могут умышленно или случайно повлиять на распространение информации, например по электронной почте, ICQ и по другим цифровым средствам связи, что негативно может сказаться на репутации предприятия, поскольку они имеют доступ к сведениям организации.

  • Одной из самых распространенных угроз информационной безопасности являются сбои и отказы программного обеспечения, технических средств фирмы, поскольку оборудование зачастую даже самое новое дает сбои, также предприятию могут поставить технически некачественное оборудование.

  • На ООО «УК «Ашатли» может возникнуть ситуация несанкционированного физического доступа к техническим средствам, являющимися источникам информации, также кража носителя с важной информацией (флешка, внешний жеский диск и т.д.) или только данных. По сути, это хищение интеллектуальной собственности через сеть или физическое хищение носителей.

  • Одной из немало важных информационных угроз являются ошибки персонала организации. Упущения в работе менеджеров, недобросовестное выполнение своих обязанностей консультантами может привести к нарушению целостности информации, а также могут возникнуть конфликтные ситуации с клиентами.

  • К угрозам программного обеспечения можно отнести различное вредоносное ПО, потеря паролей, незащищенность используемого ПО, а также отсутствие системы резервного копирования.

1.4Меры,методы и средства защиты информации,применяемые на предприятии

Законодательный уровень защитыпредставляет собой совокупностьзаконодательных актов в областиинформации и информационных технологий.К этому уровню относятся: КонституцияРФ, Гражданский кодекс РФ, Уголовныйкодекс РФ, ФЗ «Об информации, информационныхтехнологиях и защите информации» и др.

Административный уровень защитыинформации отражается в программе ИБ.Основой программы является политикаИБ – изданный документ (свод документов),который принимается руководствоморганизации и направлен на защитуинформационных ресурсов даннойорганизации. В данной организацииполитика информационной безопасностине разработана и этот уровень защитыинформации не представлен.

К используемым мерампроцедурного уровня по защите информациив ООО «УК «Ашатли» можно отнести то,что проход в здании осуществляетсятолько по предварительной договоренности,а так же в здании установлена сигнализация.Так же заключёндоговор на охрану помещений свневедомственной охраной.

Рассмотрим средствазащиты информации, применяемые напредприятии. Всего их существует четыре(аппаратные, программные, смешанные,организационные).

  • Аппаратные средства защиты – замки, решетки на окнах, защитная сигнализация, сетевые фильтры, камеры видеонаблюдения.

  • Программные средства защиты: используются средства операционной системы, такие как защита, паролем, учетные записи.

  • Организационные средства защиты: подготовка помещений с компьютерами.

  • На программно-аппаратном уровне по защите информации применяются следующие меры:

    • Использование антивирусной программы на всех компьютерах (ESET NOD32 Business EditionАнтивирус NOD 32)

    • Использование встроенных средств Windows для авторизации пользователя компьютера.

    • Использование специальных логин / паролей для авторизации в базе 1С Управление торговлей.

Источник: http://TopRef.ru/referat/56668.html

Понравилась статья? Поделить с друзьями: