Информационная безопасность предприятия "Финтех"

Тип работы:
Отчет
Предмет:
Программирование


Узнать стоимость

Детальная информация о работе

Выдержка из работы

Оглавление

  • Введение
  • 1. Анализ функционирования предприятия
    • 1.1 Информация про предприятие
    • 1.2 Схема предприятия
    • 1.3 Определить влияние вида деятельности предприятия и факторов на организацию КСЗИ. Определить состав защищаемой информации
  • 2. Разработка КСЗИ предприятия
    • 2.1 Определить потенциальные каналы, методы несанкционированного доступа к информации организации ФИНТЕХ
  • 3. Эффективность комплексной системы защищаемых объектов
    • 3.1 Оценка эффективности разработанной системы защиты предприятия
    • 3.2 Рекомендации для повышения системы защиты предприятия
  • Выводы
  • Список использованной литературы

Введение

В современном обществе в связи с растущими потребностями человека возникают проблемы информационного обеспечения всех сфер ее деятельности, то есть предоставление всей необходимой информации. Есть основания считать, что по своей значимости и актуальности проблема информатизации является важной для современного общества. Одной из проблем является надежная защита информации на предприятии, обеспечивающий предупреждение искажение или уничтожение информации, а также делал бы ее злонамеренное получения, использования или несанкционированной модификации или передачи ее конкурентам. Особую остроту эта проблема приобретает в связи с повсеместной и массовой компьютеризацией информационных процессов, и прежде всего в связи с объединением компьютеров в информационно-вычислительные сети, обеспечивает массовый доступ любых пользователей и их ресурсов.

1. Анализ функционирования предприятия

1. 1 Информация про предприятие

Предприятие «Финтех» Черкассы — основными направлениями деятельности ФИНТЕХ является создание, развитие и поддержка функционирования информационно-аналитической системы Министерства финансов Украины, системного и функционального сопровождения приложений и прикладного программного обеспечения, внедрение в деятельность финансовых органов современных информационных технологий, сервисного технического обслуживания и ремонта средств вычислительной техники и других работ, выполняемых для финансовых органов Украины, других органов исполнительной власти и субъектов предпринимательской деятельности.

На предприятии имеются следующие помещения:

— Кабинет директора

— Ремонтный отдел

— Бухгалтерия

Перечень сотрудников:

— Программисты

— Бухгалтер

— Мастер по ремонту техники

— Охранник

Параметры сети:

На предприятии находится 3 компьютера. Роутер DIR-580, настроена внутренняя компьютерная сеть, доступ к интернету.

Защищенная финансовая информация, а также информация по начислении заработной платы рабочим.

В отделении находится служебная и конфиденциальная информация, содержащаяся в электронной и бумажной форме. Это информация финансовые операции, деловые связи, отчеты, и др. Для информации используются физические: это конструкции здания, защитные двери, окна, технические: сейф, камеры наблюдения, средства оповещения; аппаратные: специфическая компьютерная и офисная техника; программные: антивирус.

Для филиала компании «Финтех» Черкассы «» возможны все угрозы, как внутренние так и внешние. Однако, учитывая местонахождение здания в городе и климатические условия, можно сказать что риск природных угроз очень незначительный. Поэтому хотелось бы более обратить внимание на внутренние угрозы и угрозы извне, вызванные деятельностью нарушителя или небрежностью работников.

1.2 Схема предприятия

Рис. 1. Схема ФИНТЕХ

1.3 Определить влияние вида деятельности предприятия и факторов на организацию КСЗИ. Определить состав защищаемой информации

информационная безопасность защита несанкционированный

Для того, чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем человек является ключевым элементом системы и вместе с тем самым трудно формализуемым и потенциально слабым ее звеном.

Создание системы защиты информации (СЗИ) не является главной задачей предприятия, как, например, производство продукции и получение прибыли. Поэтому создаваемая СЗИ не должна приводить к ощутимым трудностям в работе предприятия, а создание СЗИ должно быть экономически оправданным. Тем не менее, она должна обеспечивать защиту важных информационных ресурсов предприятия от всех реальных угроз.

Главное направление поиска новых путей защиты информации заключается не просто в создании соответствующих механизмов, а представляет собой реализацию регулярного процесса, осуществляемого на всех этапах жизненного цикла систем обработки информации при комплексном использовании всех имеющихся средств защиты. При этом все средства, методы и мероприятия, используемые для ЗИ, наиболее рациональным образом объединяются в единый целостный механизм -- причем не только от злоумышленников, но и от некомпетентных или недостаточно подготовленных пользователей и персонала, а также нештатных ситуаций технического характера.

Основной проблемой реализации систем защиты является:

С одной стороны, обеспечение надежной защиты, находящейся в системе информации (исключение случайного и преднамеренного получения информации посторонними лицами);

C другой стороны, системы защиты не должны создавать заметных неудобств авторизированным пользователям в ходе их работы с ресурсами системы.

Изучение объекта защиты сводится к сбору и анализу следующей информации:

1) Об организации процесса функционирования объекта. В состав этих данных входят сведения, характеризующие:

-- график работы объекта и его отдельных подразделений;

-- правила и процедуры доступа на объект, в отдельные помещения и к оборудованию персонала и посетителей (регулярный, случайный, ограниченный доступ);

-- численность и состав сотрудников и посетителей объекта (постоянный штат, персонал, работающий по контракту, клиенты);

-- процедуру доступа на территорию транспортных средств.

Для получения этих данных можно применять следующие способы: анкетирование сотрудников; опрос сотрудников; личное наблюдение; изучение директивных и инструктивных документов.

2) Об условиях функционирования объекта. В состав этих данных входят сведения, характеризующие:

-- пространство, непосредственно прилегающее к территории объекта;

-- ограждение периметра территории и проходы;

-- инженерные коммуникации, подземные хранилище и сооружения на территории;

-- размещение подразделений и сотрудников по отдельным помещениям (с поэтажными планами);

-- инженерные коммуникации в помещениях;

-- состояние подвальных и чердачных помещений;

-- размещение, конструкции и состояние входов, дверей, окон;

-- существующую систему защиты;

-- состав и настроение населения, экономические факторы и криминогенную обстановку на прилегающей территории.

На основе результатов анализа всех перечисленных сведений должны быть определены: назначение и основные функции системы защиты; основные виды возможных угроз и субъекты угроз; внешняя среда; условия функционирования системы защиты (наличие энергетических и других ресурсов, естественные преграды и т. п.).

Можно перечислить основные параметры предприятия и показать, каким образом они могут оказывать влияние на разрабатываемую комплексную систему защиты информации:

-- характер деятельности предприятия оказывает влияние на организационно-функциональную структуру КСЗИ, ее состав; состав и структуру кадров СЗИ, численность и квалификацию ее сотрудников; техническое обеспечение КСЗИ средствами защиты; количество и характер мер и мероприятий по ЗИ; цели и задачи КСЗИ;

-- состав защищаемой информации, ее объем, способы представления и отображения, технологии обработки: состав и структуру СЗИ; организационные мероприятия по ЗИ; состав технических средств защиты, их объем; состав нормативно-правового обеспечения КСЗИ; методы и способы ЗИ; объем материальных затрат на ЗИ;

-- численный состав и структура кадров предприятия: численный состав сотрудников СЗИ; организационную структуру СЗИ; объем затрат на ЗИ; техническую оснащенность КПП; объем организационных мероприятий по ЗИ;

-- организационная структура предприятия: организационную структуру КСЗИ; количество и состав сотрудников СЗИ;

-- техническая оснащенность предприятия: объем и состав технических средств ЗИ; количество и квалификацию технического персонала СЗИ; методы и способы ЗИ; размер материальных затрат на ЗИ;

-- нормативно-правовое обеспечение деятельности предприятия влияет на формирование нормативно-правовой базы КСЗИ; регулирует деятельность СЗИ; влияет на создание дополнительных нормативно-методических и организационно-правовых документов СЗИ;

-- экономическое состояние предприятия (кредиты, инвестиции, ресурсы, возможности) определяет объем материальных затрат на ЗИ; количество и состав сотрудников и квалифицированных специалистов СЗИ; уровень технической оснащенности СЗИ средствами защиты; методы и способы ЗИ;

-- режим работы предприятия влияет на режим функциональности КСЗИ, всех ее составляющих; состав технических средств ЗИ; объем затрат на ЗИ; численность персонала СЗИ;

-- местоположение и архитектурные особенности предприятия: состав и структуру СЗИ; состав технических средств ЗИ; объем материальных затрат на ЗИ; численный состав и квалификацию сотрудников СЗИ;

-- тип производства: организационно-функциональную структуру СЗИ;

-- объем производства: размеры материальных затрат на ЗИ; объем технических средств защиты; численность сотрудников СЗИ;

-- форма собственности влияет на объем затрат на ЗИ (например, на некоторых государственных предприятиях затраты на защиту информации (СЗИ) могут превышать стоимость самой информации); методы и способы ЗИ.

Организация КСЗИ на предприятии зависит от параметров рассмотренных характеристик данного предприятия. Однако степень воздействия различных характеристик предприятия на организацию КСЗИ различна. Из числа наиболее влиятельных можно выделить следующие:

-- характер деятельности предприятия;

-- состав защищаемой информации, ее объем, способы представления и отображения;

-- численный состав и структура кадров предприятия;

-- техническая оснащенность предприятия;

-- экономическое состояние предприятия;

-- организационная структура предприятия;

-- нормативно-правовое обеспечение деятельности предприятия.

2. Разработка КСЗИ предприятия

2.1 Определить потенциальные каналы, методы несанкционированного доступа к информации организации ФИНТЕХ

Несанкционированный доступ осуществляется через существующий или специально создаваемый канал доступа, который определяется как путь, используя который, можно получить неразрешенный доступ к конфиденциальной информации.

К каналам несанкционированного доступа к конфиденциальной информации относятся:

1. Установление контакта с лицами, имеющими или имевшими доступ конфиденциальной информации;

2. Вербовка и (или) внедрение агентов;

3. Организация физического проникновения к носителям конфиденциальной информации;

4. Подключение к средствам отображение, хранения, обработки, воспроизведения и передачи информации средствам связи;

5. Прослушивание речевой конфиденциальной информации;

6. Визуальный съем конфиденциальной информации;

7. Перехват электромагнитных излучений;

8. Исследование выпускаемой продукции, производственных отходов и отходов процессов обработки информации;

9. Изучение доступных источников информации;

10. Подключение к системам обеспечения производственной деятельности предприятия;

11. Замеры и взятие проб окружающей объект среды;

12. Анализ архитектурных особенностей некоторых категорий объектов.

Использование того или другого канала осуществляется с помощью определенных, присущих конкретному каналу методов и технологий несанкционированного доступа.

1)Установление контакта с лицами, имеющими или имевшими доступ к конфиденциальной информации.

Самым распространенным, многообразным по методам несанкционированного доступа, а потому и самым опасным каналом является установление контакта с лицами, имеющими или имевшими доступ к конфиденциальной информации.

В первую группу входят лица, работающие на данном предприятии, а также не работающие на нем, но имеющие доступ к конфиденциальной информации предприятия в силу служебного положения (из органов власти, вышестоящих, смежных предприятий и др.).

Вторая группа включает уволенных или отстраненных от данной конфиденциальной информации лиц, в том числе продолжающих работать на предприятии, а также эмигрантов и перебежчиков. Эта группа наиболее опасна, поскольку нередко имеет дополнительные причины для разглашения информации (обида за увольнение, недовольство государственным устройством и др.).

Контакт с этими людьми может быть установлен различными путями, например на семинарах, выставках, конференциях и других публичных мероприятиях. Опосредованный контакт, осуществляемый через посредников (без прямого общения, диалога), устанавливается через коллег, родственников, знакомых, которые и выступают в роли посредников.

Использование данного канала может иметь целью уничтожение или искажение информации с помощью лиц, имеющих к ней доступ, или для получения конфиденциальной информации. При этом применяются различные методы несанкционированного доступа к информации.

Наиболее распространенными методами является:

* Выведывание информации под благовидным предлогом («использование собеседника втемную»). Это может осуществляться в неофициальных беседах на публичных мероприятиях и т. д. с включением в них пунктов, касающихся конфиденциальной информации.

* переманивания сотрудников конкурирующих предприятий с тем, чтобы, помимо использования их знаний и умения, получить интересующую конфиденциальную информацию, относящуюся к прежнему месту их работы.

* покупки конфиденциальной информации активно ищут недовольных заработком, руководством, продвижением по службе.

* принуждение к выдаче конфиденциальной информации шантажом, различного рода угрозами, применением физического насилия как к лицу, владеющему информацией, так и к его родственникам и близким.

* склонение к выдаче конфиденциальной информации убеждением, лестью, посулами, обманом, в том числе с использованием национальных, политических, религиозных факторов.

2)Организация физического проникновения к носителям конфиденциальной информации.

Организация физического проникновения к носителям конфиденциальной информации сотрудников разведывательных служб -- используется сравнительно редко, поскольку он связан с большим риском и требует знаний о месте хранения носителей и системе защиты информации, хотя уровень защиты информации в некоторых государственных и многих частных структурах дает возможность получать через этот канал необходимую информацию.

Физическое проникновение лиц, не работающих на объекте, включает два этапа:

* проникновение на территорию (в здания) охраняемого объекта.

* проникновение к носителям конфиденциальной информации.

При проникновении на территорию объекта возможно применение следующих методов:

* использование подложного, украденного или купленного (в том числе и на время) пропуска;

* маскировка под другое лиц;

* проход под видом внешнего обслуживающего персонала;

* проезд спрятанным в автотранспорте;

* отвлечение внимания охраны для прохода незамеченным (путем создания чрезвычайных ситуаций, с помощью коллеги и т. д.);

* изоляция или уничтожение охраны;

* преодоление заграждающих барьеров (заборов), минуя охрану, в том числе и за счет вывода из строя технических средств охраны.

Проникновение к носителям конфиденциальной информации может осуществляться путем:

* взлома дверей хранилищ и сейфов (шкафов) или их замков, через окна, ее проникновение производится в нерабочее время, с отключением (разрушением) сигнализации, телевизионных средств наблюдения (при необходимости), или, при проникновении в рабочее время, путем прохода в комнаты исполнителе работающих с конфиденциальными документами, в производственные и складские помещения для осмотра технологических процессов и продукции, а также в помещения, которых производится обработка информации.

* Проникновение к носителям конфиденциальной информации осуществляется и во время их транспортировки с использованием, в зависимости от вида, условий и маршрута транспортировки, соответствующих методов.

Целью проникновения является, как правило, получение конфиденциальной информации, но она может состоять и в оказании на информацию дестабилизирую воздействий, приводящих к ее уничтожению, искажен, блокированию.

3)Подключение к средствам отображение, хранения, обработки, воспроизведения и передачи информации средствам связи.

Подключение к средствам отображения, хранения, работки, воспроизведения и передачи информации, средства может осуществляться лицами, находящимися на территории объекта и вне ее.

Несанкционированное подключение, а следовательно, и санкционированный доступ к конфиденциальной информации может производиться:

* с персонального компьютера с использованием телефонного набора или с несанкционированного терминала со взломом парольно-ключевых систем защиты или без взлома с помощью маскировки под зарегистрированного пользователя;

* с помощью программных и радиоэлектронных устройств;

* с помощью прямого присоединения к кабельным линиям связи, в том числе с использованием параллельных телефонных аппаратов;

* за счет электромагнитных наводок на параллельно проложенные провода или методов высокочастотного навязывания.

4)Прослушивание речевой конфиденциальной информации

Прослушивание речевой конфиденциальной информации -- всегда широко использовалось, опасность увеличивается по мере появления новых технических средств прослушивания. При этом речь идет о прослушивании не агентами, находящимися внутри помещения, а лицами, расположенными вне задания, иногда на значительном расстоянии от него.

Такое прослушивание чаще всего осуществляется по двум направлениям:

* подслушивание непосредственных разговоров лиц, допущенных к данной информации;

* прослушивание речевой информации, зафиксированной на носителе, с помощью подключения к средствам ее звуковоспроизведения.

5)Визуальный съем конфиденциальной информации

Визуальный съем конфиденциальной информации может осуществляться следующими методами:

* чтением документов на рабочих местах пользователей (в том числе с экранов дисплеев, с печатающих устройств) в присутствии пользователей и при их отсутствии;

* осмотром продукции, наблюдением за технологическим процессом изготовления продукции;

* просмотром информации, воспроизводимой средствами видеовоспроизводящей техники и телевидения;

* чтением текста, печатаемого на машинке и размножаемого множительными аппаратами;

* наблюдением за технологическими процессами изготовления, обработки, размножения информации;

* считыванием информации в массивах других пользователей, в том числе чтением остаточной информации.

3. Эффективность комплексной системы защищаемых объектов

3.1 Оценка эффективности разработанной системы защиты предприятия

Под эффективностью системы обычно понимают ее приспособленность к выполнению своей целевой функции.

Различают два вида эффективности: результативная — эффективность в смысле результативности; экономическая — эффективность в смысле экономичности.

Оценка эффективности — это процедура, направленная на определение качественных и количественных показателей эффективности, выявление критических элементов системы, а также определение интегрального показателя эффективности системы в целом.

Оценка эффективности ведется по определенным показателям:

Показатель эффективности — это величина, характеризующая степень достижения системой любой из поставленных перед ней задач. Значение показателя эффективности, при котором система удовлетворяет предъявляемым к ней требованиям, называется критерием эффективности.

Все показатели эффективности можно разделить на 2 группы:

1. Единичные, отражают какую-либо из значимых сторон функционирования системы (вероятность обнаружения нарушителя, вероятность нейтрализации нарушителя силами охраны и т. п.);

2. Комплексные (обобщенные), представляют собой комбинацию частных показателей.

На сегодняшний день существует несколько методических подходов к оценке эффективности:

— Детерминистический подход;

— Логико-вероятный метод;

— Вероятно-временной анализ.

Детерминистический подход связан с задачей и последующей проверкой обязательных требований, содержащихся в ведомственных руководящих документах, на проектирование, рабочем проекте. Этот подход предусматривает проведение комплексных проверок с различной регулярностью.

Логико-вероятный метод. Целью исследования является определение степени риска, присутствующего в системе. Количественная оценка степени риска производится с помощью теории вероятности.

Недостатком метода является трудоемкость логико-вероятностных преобразований, а также проблема достоверности вероятности инициирующих событий.

Вероятно-временной анализ. Основной метод, который используется в настоящее время для оценки эффективности СЗИ. Эффективность рассматривается как вероятная величина. При этом определяется выполнение следующего условия: Т = То-Тн < 0, где-То — суммарное время реагирования охраны на дестабилизирующие действия, Тн — суммарное время воздействия нарушителя. Т = Уti. Если ti независимые и их количество велико, то события Т оказываются распределены по нормальному закону.

3.2 Рекомендации для повышения системы защиты предприятия

ФИНТЕХ, это не большое предприятие, но в нем нужно защищать конфиденциальную информацию о всех пользователях, которые пользуются его услугами.

Оптимальное распределение задач между техникой и человеком — предотвращение воздействия человеческой фактора за счет автоматизации процессов управления оборудованием и внутреннего учета. Комплекс организационных мероприятий, которые рекомендованы дополнительно к техническим средствам для их эффективного использования.

Я советовал бы улучшить внешнюю систему защиты установкой камер и контрольно пропускной пункт, улучшить программное обеспечение и поставить сетевую защиту (Firewall).

Выводы

Информационную безопасность предприятия определяет используемая им информационная технология, представляет собой информационный процесс, реализуемый на распределенных по территории предприятия технических средств, а также наличие точек доступа или утечки информации, создают потенциальную возможность реализации угроз; и наличие эффективных средств защиты.

Наиболее эффективными мерами, проведение которых целесообразно в первую очередь, представляются создание средств защиты от хищения носителей информации и обеспечения их надежности в эксплуатации. Средства защиты (защитные барьеры) предназначены для того, чтобы ликвидировать или уменьшить до приемлемого уровня последствия вредных воздействий на информационный процесс.

Определение мер по обеспечению необходимого уровня защищенности предполагает определение структуры, состава и размещения средств защиты информации, при которых обеспечивается необходимый уровень защищенности предприятия от реального спектра угроз безопасности. Задача синтеза системы защиты информации на предприятии должна проводиться на основе количественных показателей, полно и достоверно отражают уровень информационной безопасности предприятия.

Список использованной литературы

1. Барсуков В. С., Водолазний В. В. Современные технологии безопасности. — М.: «Нолидж», 2000. — 496 с.

2. Как построить защищенную информационную систему./ Под науч. ред. Зегжды Д. П. и Платонова В. В. — СПб.: Мир и семья, 1997.

3. Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных.: Учебное пособие для вузов./ Белкин П. Ю., Михальский О. О., Першаков А. С. и др. — М.: Радио и связь, 1999. — 168 с.

4. Алексенцев А. И. Понятие и назначение комплексной системы защиты информации // Вопросы защиты информации. -- № 2. -- 1996.

5. Мельников. Информационная безопасность и защита информации, — Academia, М., 2007.

ПоказатьСвернуть
Заполнить форму текущей работой