Информационная безопасность предприятия на примере

Содержание статьи

Защита информации на предприятии: методы и средства реализации задачи

Для современных предприятий характерно стремительное развитие их информационной среды. Постоянное накопление информации требует ее надлежащей обработки и хранения.

В результате работы с данными важной задачей является организация защиты информации на предприятии.

Если правильно не организовать работу в этом направлении, то можно потерпеть крах в современной экономической среде, которая не всегда отличается доброжелательной конкуренцией.

Зачастую все обстоит по-другому, конкурирующие фирмы стараются правильными и неправильными способами получить информацию о своем конкуренте, чтобы опередить его в развитии и продвижении на рынке.

На сегодня защита информации на предприятии представляет собой комплекс мер, которые направлены на то, чтобы сохранить целостность, уберечь от кражи и подмены следующих данных:

  1. база данных клиентов и партнеров;
  2. электронный документооборот компании;
  3. технические нюансы деятельности предприятия;
  4. коммерческие тайны.

Для успешного управления огромными потоками перечисленных данных предприятие должно иметь систему менеджмента информационной безопасности.

Она должна непрерывно работать на решение задачи защиты важной информации и отличаться хорошей защитой от внешних угроз и атак.

Оценка рисков

Система защиты информации на предприятии должна разрабатываться с учетом рисков, которые наиболее часто встречаются в информационной среде современных компаний.

К основным из них следует отнести:

  • попытки получения доступа к данным, которые недоступны для неавторизованных пользователей информационной системы предприятия;
  • несанкционированное изменение и подмена информации, которая может привести к потере предприятиями своей репутации и имиджа;
  • попытки получения доступа и кражи конфиденциальной, секретной и технической информации.

Исходя из перечисленных рисков, должны выбираться методы и алгоритмы защиты важной для предприятия информации.

Чтобы эту задачу решить положительно, на предприятии должна быть разработана и внедрена информационная политика, согласно которой производится градация данных, которая могут иметь открытый или только закрытый доступ.

Возможные источники проблем

Чтобы правильно выбрать методы защиты информации на предприятии и эффективно использовать их следует определиться с источниками возможных угроз потери данных.

К основным из них относятся:

  1. сбои в аппаратной системе предприятия, обеспечивающей обработку и хранения данных;
  2. мошенничество с целью получения доступа к информации;
  3. искажение данных с целью получения неправомерной выгоды или нанесения ущерба компании;
  4. подлог данных или их хищение с помощью различных аппаратных и программных средств;
  5. кража информации с помощью устройств, использующих для этого электромагнитное излучение, акустические сигналы, визуальное наблюдение.

Перечисленные угрозы могут исходить как от сторонних лиц, которым нужны определенные данные компании в личных интересах, конкурирующие фирмы или сотрудники организаций, которые небрежно выполняют свои функциональные обязанности, или решили передать важные данные конкурентам.

Если угроза исходит от сотрудников, то они, скорее всего, постараются незаметно скопировать информацию, воспользовавшись своими полномочиями, и передадут ее третьим лицам.

Когда данные стараются получить сторонние лица, в основном используются различные программные средства.

  • спам-рассылку с вредоносными ссылками;
  • вирусные программы;
  • троянские и шпионские плагины;
  • игровые закладки с измененным кодом под вирусный софт;
  • ложное программное обеспечение с измененными функциями.

Учитывая перечисленные угрозы, защита конфиденциальной информации на предприятии должна строиться как на аппаратном, так и программном уровне. Только в комплексе можно успешно защитить свои данные от киберзлоумышленников.

Примеры неправомерных действий

В качестве примера неправомерных действий, направленных на получение выгоды от подделки, замены, кражи информации можно привести следующие.

  1. Злоумышленник получает доступ к данным клиентов банка. Имея в наличии информацию о физлице, номерах его счетов, платежных карт, он может подделать документы или банковские карты и неправомерно снять деньги со счета другого человека.
  2. Если киберпреступник получит доступ к электронным копиям документов, он сможет подделать оригинальные документы и оформить кредит на другого человека.
  3. Во время расчета в интернет-магазине, злоумышленник, используя специальные плагины, может подменить реквизиты магазина, переведя деньги покупателя на свой счет, а не в магазин.
  4. При передаче важной технической информации каналами связи, кибершпионы, используя различные средства слежения и считывания, могут просканировать канал, по которому передается информационный трафик и получить доступ к техническим секретам предприятия.

Процесс организации защиты информации на предприятии

К основным этапам комплексной защиты информации на предприятии относятся:

  • формирование информационной политики предприятия, компании;
  • создание внутреннего правового поля использования информации;
  • формирование подразделения информационной защиты и безопасности.

Защитная деятельность компании должна вестись в следующих направлениях:

  1. защита данных, которые обрабатываются и хранятся в архивах;
  2. исключение вероятности несанкционированного проникновения в информационную среду компании;
  3. правильная работа с персоналом для исключения краж важных данных сотрудниками компании.

Меры защиты

Для повышения информационной безопасности предприятиями активно используются следующие меры безопасности.

Формирование системы доступа к данным внутри корпоративной сети

Предприятиями используются различные автоматизированные системы управления доступом к данным согласно приоритетам и статусам сотрудников компании.

Это упрощает процедуру отслеживания перемещения потоков данных и выявления утечек информации.

Антивирусная защита

Использование эффективного антивирусного программного обеспечения исключит вероятность кражи данных с помощью специального софта.

Он может попасть в информационную среду компании по сети интернет .

Зачастую практикуется параллельное использование двух программных продуктов, отличающихся разными алгоритмами определения шпионского и вирусного софта.

Системы обнаружения и защиты от кибератак

Подобного рода системы активно внедряются в информационные системы предприятий, поскольку позволяют защитить не только от распространения программ с вредоносным кодом, а и блокируют попытки остановки информационной системы предприятия.

Обучение персонала сетевой безопасности

Многие компании проводят для своих сотрудников семинары и конференции, на которых обучают безопасному поведению в локальной и глобальной сетевой среде, а также безопасному обращению с информацией во время выполнения своих ежедневных функциональных обязанностей.

Это существенно сокращает риски, того что информация будет утеряна или передана третьим лицам по небрежности сотрудников.

Заключение

Комплексная система защиты информации на предприятии – это сложная задача, которую предприятию самостоятельно решить достаточно сложно.

Для этого существуют специализированные организации, которые помогут сформировать системы информационной безопасности для любого предприятия.

Квалифицированные специалисты умело создадут структуру защиты, концепцию ее внедрения в конкретной компании, а также выберут подходящие аппаратные и программные средства для решения поставленной задачи.

Также ими проводится подготовка сотрудников компаний, которые потом будут работать с внедренной системой безопасности и поддерживать ее функциональность на надлежащем уровне.

Видео: Подход к защите информации на современном Предприятии

Менеджмент информационной безопасности на примере организации ООО «Компания РАН»

Голубев С.В.
выпускник группы MBA CIO-28b
Школа IT-менеджмента
РАНХиГС при Президенте РФ

Рост экономики, научно-технический прогресс, все это те факторы, которые обуславливают все более растущие темпы внедрения последних достижений в области информатизации во все сферы социально-экономической жизни Российского общества. Уже крайне сложно представить бизнес, который бы не использовал последних достижений в области мобильных коммуникаций, компьютерных технологий. Любой бизнес стал неотрывно связан с получением и передачей информации.

Использование информационных технологий привело к появлению ряда проблем для руководства организацией. Потеря информационных ресурсов или завладение конфиденциальной информацией конкурентами, наносит предприятию значительный ущерб и может приводить к банкротству. Информация, обрабатываемая в автоматизированных информационных системах достаточно уязвима. Вместе с развитием информационных технологий происходит и рост преступности, связанной с хищением и неправомерным использованием информации.

Все это привело к развитию направления по защите информации и обеспечению безопасности информационных систем. Обеспечение информационной безопасности – это процесс, ну а коль скоро это процесс, то этим процессом надо управлять.

Цель данной работы проанализировать систему менеджмента информационной безопасности в ООО «Компания Ран», а также разработать стратегию информационной безопасности предприятия в виде системы эффективных политик, которые определяли бы эффективный и достаточный набор требований безопасности.

При проведении исследований был использован метод экспертного оценивания, позволивший опираясь на существующие стандарты и рекомендации в области защиты информации проанализировать состояние системы информационной безопасности и как следствие, опираясь на полученные данные, создать эффективную политику информационной безопасности компании.

Объектом исследования является организация эффективного функционирования отдела безопасности информационных технологий, при этом предметом исследования стало создание политики безопасности, как нормативного документа верхнего уровня, определяющего требования безопасности, систему мер, порядок действий, а также ответственность сотрудников организации и механизмы контроля обеспечения информационной безопасности.

Читайте также:  Требования безопасности при несении боевой службы

ООО «Компания Ран» специализируется на производстве и продаже широкого ассортимента детских товаров и работает на Российском рынке более 18 лет. В Компании работает более 1200 человек. Численность работников неуклонно растет, что в первую очередь объясняется постоянным ростом объемов производства и продаж выпускаемой продукции.

Необходимость для ООО «Компания Ран» тщательно спланированной и постоянно поддерживаемой защиты вытекает из наличия ряда характерных для производственной и управленческой деятельности, специфических факторов:

  • Хранимая и обрабатываемая в информационных системах информация представляет собой данные, на основании которых принимаются стратегические решения, производятся выплаты различного рода, осуществляются переводы и платежи.
  • Информация в информационной системе затрагивает интересы большого количества людей и организаций – клиентов Компании. Как правило, она конфиденциальна.
  • Продолжает возрастать удельный вес компьютерных преступлений и материальный ущерб от них в общей доле материальных потерь от преступлений.

Нарушение ИБ может приводить к:

  • Потере доходов
  • Правовым последствиям
  • Ухудшению репутации
  • Снижению доверия инвесторов
  • Снижению доверия клиентов
  • Потеря или компрометация данных
  • Нарушение бизнес-процесса

По оценке специалистов США, ущерб от компьютерных преступлений увеличивается на 35 процентов в год. Поэтому ясно, что информация – это ресурс, который надо защищать.

Таким образом, обеспечение информационной безопасности в ООО «Компания Ран» имеет двунаправленный характер:

  • необходимо гарантировать непрерывность и корректность работы информационных автоматизированных систем;
  • необходимо обеспечивать защиту информации в автоматизированных информационных системах.

В настоящее время все большее признание и распространение получает системно-концептуальный подход к защите информации, в основу которого положен вывод о том, что защита информации есть не одноразовая акция и не совокупность мероприятий, а непрерывный процесс, целенаправленно осуществляемый на всех этапах создания и функционирования информационно-технологических систем с проведением комплекса мероприятий и применением всех имеющихся средств и методов защиты.

Менеджмент информационной безопасности в организации – это часть общего корпоративного менеджмента организации, которая ориентирована на содействие достижению целей деятельности организации через обеспечение защищенности ее информационной сферы.

Продуманная система менеджмента ИБ:

  • Обеспечивает качество бизнеса Компании
  • Позволяет выстроить оптимальную систему защиты
  • Позволяет реально снизить риски безопасности до заданного уровня
  • Позволяет снизить риски возникновения операционных рисков и системных кризисов

Эффективный менеджмент информационной безопасности подразумевает проведение эффективных политик информационной безопасности, которые определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски информационной безопасности до приемлемой величины.

Для проведения исследований по оценке уровня менеджмента ИБ в Компании была разработана методика и опросник, в основу которого был заложен метод экспертного оценивания. Данный вопросник позволяет оценить три групповых показателя ИБ:

  • Оценка текущего уровня информационной безопасности в Компании
  • Оценка процессов системы менеджмента информационной безопасности
  • Оценка осознания информационной безопасности

Каждое из этих трех групповых показателей ИБ оценивается на основе ряда частных показателей ИБ. Частные показатели ИБ представлены в виде вопросов, ответы на которые дают возможность определить оценки, которые затем формируют оценки групповых показателей. Для оценки каждого частного показателя ИБ было разработано в среднем от 5 до 20 вопросов. Весь вопросник состоит из более чем 450 вопросов.

Разработанная методика содержит формы, предназначенные для заполнения при проведении оценки. Каждая из форм содержит групповой показатель ИБ, входящие в него частные показатели ИБ и метрику (способ оценивания) для оценивания частных показателей. Метрика содержит шкалу для оценивания степени реализации требований и коэффициенты значимости частных показателей ИБ.

Проведенный опрос позволил оценить существующее положение ИБ в Компании, выявить наиболее приоритетные направления работы и а также создать эффективную политику информационной безопасности.

В итоге мы имеем возможность проводить аудит ИБ, как для оценки текущего состояния, так и для оценки динамики.

Была разработана организационно-штатная структура отдела защиты информации в рамках СБ, который и являлся объектом исследований. На данных момент отдел состоит пока из трех человек.

Предметом исследования данной работы стало создание и внедрение политики безопасности, как нормативного документа верхнего уровня, определяющего требования безопасности, систему мер, порядок действий, а также ответственность сотрудников организации и механизмы контроля обеспечения информационной безопасности. Политика безопасности была разработана с учетом результатов проведенных оценок СМИБ, анализа рисков ИБ, модели нарушителей, а также на основе стандартов в области. В силу того, что данный документ является документом для служебного пользования, он не вошел в диплом, но Вы с ним можете ознакомиться.

На основе разработанной политики информационной безопасности проводиться комплекс мероприятий: организационных, организационно-технических, технических, позволивший минимизировать риски нарушения информационной безопасности до заданного уровня.

Согласно общеизвестному “Закону Парето” «20 % усилий дают 80 % результата, а остальные 80 % усилий — лишь 20 % результата». Можно утверждать, что эффективность механизмов безопасности различна и в большинстве случаев определенный, ограниченный набор действий позволяет ликвидировать большую часть угроз и обеспечить требуемый уровень безопасности. Т.е. с минимальными инвестициями в СМИБ был достигнут максимальный результат.

В результате проведения данной работы были выполнены все поставленные цели, т.е. проанализирована система менеджмента информационной безопасности в ООО «Компания Ран», а также разработана стратегия информационной безопасности предприятия в виде системы эффективных политик.

Для этого были решены следующие задачи:

  • разработана методика проведения аудита ИБ;
  • проведен анализ системы менеджмента ИБ;
  • проведена классификация информации, разработан перечень сведений, подлежащих защите;
  • разработана и внедрена корпоративная политика безопасности Компании;
  • разработана организационно-штатная структура отдела защиты информации, определены основные задачи и функции, созданы должностные инструкции сотрудников;

Решенные задачи позволили:

    • повысить общий уровень защиты информационных ресурсов в ИТ-инфраструктуре Компании;
  • скоординировать, формализовать и зафиксировать требования и процедуры информационной безопасности;
  • обосновывать и планировать мероприятия по обеспечению ИБ;
  • зафиксировать ответственность между пользователями, администраторами и руководителей структурных подразделений в части информационной безопасности;
  • упорядочить деятельность по эксплуатации существующих мер защиты;
  • обеспечить информационную безопасность с учетом требований национальных и международных стандартов.

Информационная безопасность на предприятии

Конфиденциальная информация представляет огромный интерес для конкурирующих фирм. Именно она становится причиной посягательств со стороны злоумышленников.

Многие проблемы связаны с недооценкой важности угрозы, в результате чего для предприятия это может обернуться крахом и банкротством. Даже единичный случай халатности рабочего персонала может принести компании многомиллионные убытки и потерю доверия клиентов.

Угрозам подвергаются данные о составе, статусе и деятельности компании. Источниками таких угроз являются её конкуренты, коррупционеры и преступники. Особую ценность для них представляет ознакомление с охраняемой информацией, а также ее модификация в целях причинения финансового ущерба.

К такому исходу может привести утечка информации даже на 20%. Иногда потеря секретов компании может произойти случайно, по неопытности персонала или из-за отсутствия систем защиты.

Угрозы информационной безопасности

Для информации, являющейся собственностью предприятия, могут существовать угрозы следующих видов.

Угрозы конфиденциальности информации и программ. Могут иметь место после нелегального доступа к данным, каналам связи или программам. Содержащие или отправленные данные с компьютера могут быть перехвачены по каналам утечки.

Для этого используется специальное оборудование, производящее анализ электромагнитных излучений, получаемых во время работы на компьютере.

Опасность повреждения. Незаконные действия хакеров могут повлечь за собой искажение маршрутизации или потерю передаваемой информации.

Угроза доступности. Такие ситуации не позволяют законному пользователю использовать службы и ресурсы. Это происходит после их захвата, получения по ним данных или блокировки линий злоумышленниками. Подобный инцидент может искажать достоверность и своевременность передаваемой информации.

Существует три важных условия, которые позволят российскому гражданину открыть процветающий бизнес: идеальный бизнес-план, продуманная учётная и кадровая политика и наличие свободных денежных средств.

Подготовка документов для открытия ООО требует определённого времени. На открытие расчётного счёта в банке уходит примерно 1-2 дня. О том какие документы понадобятся для открытия ООО читайте здесь.

Риск отказа от исполнения транзакций. Отказ пользователя от передаваемой им же информации с тем, чтобы избежать ответственности.

Внутренние угрозы. Такие угрозы несут для предприятия большую опасность. Они исходят от неопытных руководителей, некомпетентного или неквалифицированного персонала.

Иногда сотрудники предприятия могут провоцировать специально внутреннюю утечку информации, показывая этим своё недовольство зарплатой, работой или коллегами. Они запросто могут преподнести всю ценную информацию предприятия его конкурентам, попытаться уничтожить её, или умышленно внести в компьютеры вирус.

Обеспечение информационной безопасности предприятия

Важнейшие процессы бухгалтерского учёта и управление складом автоматизируются соответствующим классом систем, защищенность которых достигается целым комплексом технических и организационных мер.

В их составе антивирусная система, защита межсетевого экранирования и электромагнитного излучения. Системы защищают информацию на электронных носителях, передаваемые по каналам связи данные, разграничивают доступ к разноплановым документам, создают запасные копии и восстанавливают конфиденциальную информацию после повреждений.

Полноценное обеспечение информационной безопасности на предприятии должно быть стандартизировано и находиться под полным контролем круглогодично, в реальном времени в круглосуточном режиме. При этом система учитывает весь жизненный цикл информации, начиная с момента появления и до полного её уничтожения или потери значимости для предприятия.

Читайте также:  Техника безопасности при тушении электроустановок

Качественные системы информационной безопасности учитывают всевозможные объекты угроз, их источники, цели злоумышленников, способы овладения информацией, а также варианты и средства защиты. Они обеспечивают полную сохранность информационной среды, поддерживают функционирование рабочих комплексов, усовершенствуют его в интересах рабочего персонала.

Перед тем, как начать автоматизировать склад, необходимо провести ряд работ. Определить, для чего нужна автоматизация и посчитать экономическую эффективность. После этого можно ставить определённые задачи и цели перед разработчиками.

На заведующего складом возлагается и материальная ответственность за сохранность доверенных ему товарных и материальных ценностей. О том как грамотно организовать работу склада читайте тут.

Для сохранности и для предотвращения потери данных в индустрии информационной безопасности разрабатываются системы защиты. Их работа основана на сложных программных комплексах с широким набором опций, предотвращающих любые утраты данных.

Спецификой программ является то, что для правильного их функционирования требуется разборчивая и отлаженная модель внутреннего оборота данных и документов. Анализ безопасности всех шагов при использовании информации основывается на работе с базами данных.

Разработчикам некоторых таких сервисов удалось грамотно составить систему информационной безопасности, защищающую от внешних и внутренних угроз, обеспечивая при этом идеальный баланс цены и функциональности. Предлагаемые гибкие модульные комплексы совмещают работу аппаратных и программных средств.

Логика функционирования систем информационной безопасности предполагает следующие действия.

Прогнозирование и быстрое распознавание угроз безопасности данных, мотивов и условий, способствовавших нанесению ущерба предприятию и обусловивших сбои в его работе и развитии.

Создание таких рабочих условий, при которых уровень опасности и вероятность нанесения ущерба предприятию сведены к минимуму.

Возмещение ущерба и минимизация влияния выявленных попыток нанесения ущерба.

Средства защиты информации могут быть:

  • техническими;
  • программными;
  • криптографическими;
  • организационными;
  • законодательными.

Организация информационной безопасности на предприятии

Все предприниматели всегда стремятся обеспечить информации доступность и конфиденциальность. Для разработки подходящей защиты информации учитывается природа возможных угроз, а также формы и способы их возникновения.

Организация информационной безопасности на предприятии производится таким образом, чтобы хакер мог столкнуться с множеством уровней защиты. В результате злоумышленнику не удаётся проникать в защищённую часть.

К наиболее эффективному способу защиты информации относится криптостойкий алгоритм шифрования при передаче данных. Система зашифровывает саму информацию, а не только доступ к ней, что актуально и для безопасности банковской информации.

Структура доступа к информации должна быть многоуровневой, в связи с чем к ней разрешается допускать лишь избранных сотрудников. Право полного доступа ко всему объему информации должны иметь только достойные доверия лица.

Перечень сведений, касающихся информации конфиденциального характера, утверждается руководителем предприятия. Любые нарушения в этой области должны караться определенными санкциями.

Модели защиты предусматриваются соответствующими ГОСТами и нормируются целым рядом комплексным мер. В настоящее время разработаны специальные утилиты, круглосуточно отслеживающие состояние сети и любые предупреждения систем информационной безопасности.

Во избежание случайных потерь данных по неопытности сотрудников, администраторы должны проводить обучающие тренинги. Это позволяет предприятию контролировать готовность сотрудников к работе и дает руководителям уверенность в том, что все работники способны соблюдать меры информационной безопасности.

Атмосфера рыночной экономики и высокий уровень конкуренции заставляют руководителей компаний всегда быть начеку и быстро реагировать на любые трудности. В течение последних 20 лет информационные технологии смогли войти во все сферы развития, управления и ведения бизнеса.

Из реального мира бизнес уже давно превратился в виртуальный, достаточно вспомнить как стали популярны ЭЦП, у которого имеются свои законы. В настоящее время виртуальные угрозы информационной безопасности предприятия могут насести ему огромный реальный вред. Недооценивая проблему, руководители рискуют своим бизнесом, репутацией и авторитетом.

Большинство предприятий регулярно терпят убытки из-за утечки данных. Защита информации предприятия должна занимать приоритетное место в ходе становления бизнеса и его ведения. Обеспечение информационной безопасности – залог успеха, прибыли и достижения целей предприятия.

Разработка проекта защиты информации на примере ООО ПрикамЭкоТех

1. Информационные потоки циркулирующие на предприятии 5

1.1. Общая характеристика предприятия 5

1.2. Классификация информации циркулирующей на предприятии ООО «ПрикамЭкоТех» 7

1.3. Анализ угроз информационной безопасности, построение модели Злоумышленника 21

2. Анализ состояния информационной безопасности на предприятии ООО «ПрикамЭкоТех» 33

2.1. Основные факторы, влияющие на информационную безопасность на предприятии ООО «ПрикамЭкоТех» 33

2.2 Требования информационной безопасности на предприятии в соответствии со стандартами и нормативно-правовыми актами РФ 39

2.3. Состояние коммерческой информационной безопасности 47

2.4. Оценка уровня лояльности сотрудников 55

3. Выявление проблем поддержания необходимого уровня информационной безопасности в деятельности предприятия ООО «ПрикамЭкоТех» 59

3.1. Анализ уязвимых мест СЗИ 59

3.2. Разработка мер обеспечения необходимого уровня безопасности коммерческой информации 61

4. Выбор и обоснование решения совершенствования системы информационной безопасности на предприятии 71

4.1. Источники формирования ресурсов для реализации мероприятий 71

4.2. План реализации выбранного решения 74

Список использованной литературы 79

Актуальность темы определяется обострением проблем информационной безопасности даже в условиях интенсивного совершенствования технологий и инструментов защиты данных. Об этом свидетельствует беспрецедентный рост нарушений информационной безопасности и усиливающаяся тяжесть их последствий. Общее число нарушений в мире ежегодно увеличивается более чем на 170%. В России, по статистике правоохранительных органов, число выявленных преступлений только в сфере компьютерной информации возрастает ежегодно в среднем в 4-5 раза. Статистика свидетельствует также, что если коммерческая организация допускает утечку более 20% важной внутренней информации, то она в 60 случаях из 100 банкротится. [1] 93% компаний, лишившихся доступа к собственной информации на срок более 15 дней, покидают бизнес, причем половина из них заявляет о своей несостоятельности немедленно. [2]

Перечень угроз информационной безопасности, нарушений, преступлений настолько обширный, что требует научной систематизации и специального изучения с целью оценки связанных с ними рисков и разработки мероприятий по их предупреждению.

Исследования свидетельствуют о том, что основной причиной проблем предприятий в области защиты информации является отсутствие продуманной и утвержденной политики обеспечения информационной безопасности, базирующейся на организационных, технических, экономических решениях с последующим контролем их реализации и оценкой эффективности.

Все это предопределяет необходимость разработки научно обоснованных методов обеспечения информационной безопасности предприятий, учитывающих практический опыт российских и зарубежных предприятий в этой области.

Проблемы информационной безопасности предприятий рассматривались в работах многих отечественных исследователей и специалистов. Вместе с тем проведенные исследования касаются лишь отдельных аспектов обеспечения информационной безопасности, в то время как комплексность этой проблемы предполагает разработку для ее решения более современных и адекватных методов. Все это и предопределило цели и задачи дипломной работы.

Цель работы состоит в разработке проекта обеспечения информационной безопасности предприятия.

Поставленная цель обусловила следующие задачи:

изучить информационные потоки на предприятии;

выявить угрозы информационной безопасности;

провести анализ информационной безопасности на предприятии;

выявить проблемы поддержания необходимого уровня информационной безопасности на предприятии;

разработать меры по совершенствованию информационной безопасности на предприятии.

Объектом исследования выступает система защиты информации предприятия.

Предметом исследования в дипломной работе являются инструментальные и экономические методы обеспечения информационной безопасности, направленные на оптимизацию затрат предприятия.

Методологической и теоретической основой явились труды отечественных и зарубежных специалистов в области экономической безопасности, инвестиций, бюджетирования, статистики, теории рисков, информатизации управленческих и экономических процессов. В ходе работы над дипломной работой автор использовал положения законодательных и нормативно-правовых актов, постановлений Правительства РФ, регулирующих вопросы защиты информации, а так же международные стандарты по информационной безопасности.

1. Информационные потоки, циркулирующие на предприятии

1.1. Общая характеристика предприятия

Предприятие ООО «ПрикамЭкоТех» представляет собой общество с ограниченной ответственностью и ведет свою деятельность на основе Гражданского Кодекса РФ. ООО «ПрикамЭкоТех» является юридическим лицом (ст. 48 Гражданского Кодекса РФ [3] ) и действует на основе Устава, имеет собственное имущество, самостоятельный баланс и расчетный счет.

ООО «ПрикамЭкоТех» находится в г. Воткинске, по адресу: г. Воткинск, ул. Освобождения, 3-3. Компания «ПрикамЭкоТех» была основана в 1996 г. Уже более 13 лет компания «ПрикамЭкоТех» динамично развивается в области поставок запчастей и аксессуаров для автомобилей отечественного производства.

Компания производит в целях реализации резиновую крошку фракций от 1 мм., 1-3 мм., 3-5мм. Продукция собственного производства имеет сертификат качества. Так же компания принимает на утилизацию автомобильные покрышки.

Объемы производства резиновой крошки «ПрикамЭкоТех» не ограничены, но сейчас, по словам директора компании, нет программы дорожного строительства, нет нормативного регулирования, обязывающего сдавать отработанную авторезину на специальные предприятия. А Федеральный закон от 24.06.1998 N 89-ФЗ «Об отходах производства и потребления» [4] не предусматривает каких-либо мер наказания нарушителей правил природопользования и охраны окружающей среды. Использованные покрышки просто выбрасывают где придется. Компания по утилизации авторезины «ПрикамЭкоТех» принимает покрышки от СТО, ГСК, предприятий. Раз в две недели сотрудники компании собирают по Воткинску до 200 старых покрышек, которые портят экологию города.

Информация – (от лат. Informatio – разъяснение, изложение) первоначально – сведения, передаваемые людьми устным, письменным или другим способом; с середины 20-го века – общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом [6] .

Читайте также:  Основные угрозы и методы обеспечения информационной безопасности

Общая классификация информации, циркулирующей на предприятии представлена на рисунке 2. Представленная информация построена на принципах достоверности, оперативности, информативности.

Рисунок 2 – Классификация информации, циркулирующей на предприятии ООО «ПрикамЭкоТех»

Информационная безопасность предприятия

Автор: Андрей Нестеров ✔ 26.01.2020

Нестеров А.К. Информационная безопасность предприятия // Энциклопедия Нестеровых

Нарастает зависимость современных предприятий от информационных технологий, что повышает степень важности информационной безопасности предприятия.

Понятие информационной безопасности

Содержание информационной безопасности основывается на двух ее аспектах:

  1. Непосредственная информационная безопасность – состояние защищенности информационной среды.
  2. Обеспечение защиты информации – деятельность, направленная на предотвращение утечки защищаемой информации, недопущение несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Определение: информационная безопасность предприятия состоит в осуществлении целенаправленной деятельности органов управления и должностных лиц предприятия с использованием разрешённых сил и средств по достижению состояния защищённости информационной среды организации, обеспечивающее её нормальное функционирование и динамичное развитие [1].

Другой подход к определению информационной безопасности основан на выделении системных параметров и функционального блока.

Информационная безопасность – защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений” [2]. Системными параметрами выступают сама информация и инфраструктура, под которой следует понимать все системы обеспечения, начиная от электроснабжения, заканчивая обслуживающим персоналом. Функциональный блок – это угрозы информационной системе и ущерб, которым нельзя пренебречь вследствие нарушения состояния информационной безопасности.

Сегодня динамично возрастает роль информационных технологий, информационных ресурсов и значимости накопленной информации для субъектов предпринимательства. В результате, обеспечение информационной безопасности компании становится одним из фундаментальных принципов ее экономической безопасности.

Информационная безопасность, выступая в качестве одной из основ экономической безопасности компании, и вопросы, связанные с ее обеспечением, представляют сегодня один из жизненно необходимых аспектов ведения успешной предпринимательской деятельности в условиях агрессивной рыночной экономики. Говоря об агрессивности современной экономической системы, следует учитывать процессы преобразования структуры активов предприятий в сторону преобладания информационных активов над материальным капиталом. В соответствии с этими тенденциями в компаниях развиваются и усложняются информационные системы и системы коммуникаций. Их основной задачей является обеспечение таких условий для экономической деятельности предприятия, в которых достигается максимальная эффективность всех внутренних процессов в условиях динамичной окружающей среды предприятия и активной конкурентной борьбы. Обеспечение информационной безопасности в целом ведет к значительной экономии затрат, средств и ресурсов предприятия, тогда как ущерб, наносимый вследствие преднамеренных действий и непреднамеренных ошибок, приводит к значительным материальным потерям. Например, раскрытие особых условий технологических процессов приводит к появлению аналогичных продуктов у конкурентов, в результате такого нарушения информационной безопасности предприятие теряет часть рынка, соответственно падает выручка и снижается прибыль. Если же информационные активы являются ключевым фактором конкурентоспособности предприятия, то нарушение информационной безопасности ведет к катастрофическим последствиям для компании.

Признаки информационной безопасности

Специфика обеспечения информационной безопасности компании проявляется в трех базовых признаках: конфиденциальности, целостности и доступности информации.

  1. Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц.
  2. Целостность: неизменность информации в процессе её передачи или хранения.
  3. Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц.

Функциональные признаки обеспечения информационной безопасности предприятия заключаются в формировании следующих условий:

  1. Строгое выполнение обязательств: подтверждение всех действий, совершенных в информационной системе, и событий, предписанных к совершению, таким образом, что эти действия и события не могут быть позже отменены, за исключением случаев, предусмотренных регламентом.
  2. Реализация подотчетности и идентификации: обеспечение однозначной идентификации всех субъектов информационной системы и пользователей информации, имеющих определенные права доступа к ней, и регистрации всех совершаемых действий, связанных с получением и обработкой информации.
  3. Достижение достоверности: подтверждение соответствия совершаемых операций регламентированным действиям и результатам.
  4. Обеспечение подлинности: формирование условий, гарантирующих фактическую идентичность информационных ресурсов заявленным параметрам.

Способы и средства обеспечения информационной безопасности сводятся к трем сферам аппаратное обеспечение, программное обеспечение и каналы коммуникации. Непосредственные процедуры и механизмы защиты информации распределены между защитой физического уровня, персональную защиту и организационную защиту.

Концепция информационной безопасности

Таким образом, концепция информационной безопасности может быть представлена в виде структурной схемы, отражающей ее базовые и функциональные признаки, способы и средства обеспечения информационной безопасности, процедуры и механизмы защиты информации. Концепция информационной безопасности отражена в виде схемы на рисунке.

Концепция информационной безопасности

В контексте того, что сейчас предприятия активно внедряют информационные технологии в свою деятельность, обеспечение информационной безопасности становится весьма актуальным вопросом для предприятий, в интересах которых минимизировать угрозы информационной безопасности.

Угрозы информационной безопасности компаний

Объективным условием возникновения понятия информационной безопасности является появление угроз нанесения ущерба имущественным и иным интересам в результате воздействия непосредственно на информацию или на средства коммуникации, по которым она передается. В настоящее время развитие информационных технологий привело к появлению широкого разнообразия как средств обработки и передачи данных, так и возможностей их хищения и использования в корыстных целях. Вследствие этого компании должны обеспечивать защиту собственной информации для предотвращения промышленного шпионажа и нанесения иного ущерба своим интересам, минимизируя потенциальные и устраняя существующие угрозы своей информационной безопасности.

В соответствии с концепцией обеспечения информационной безопасности компании только выявление и контроль всего спектра угроз позволяет построить эффективную систему защиты информации.

По отношению в информационной системе предприятия, угрозы информационной безопасности могут быть внутренними или внешними. Внутренние представляют собой нарушение регламента предприятия в отношении использования информационных ресурсов предприятия, использование данных компании в личных целях, занесение сотрудниками вируса в информационную сеть, хищение конфиденциальных данных и т.д. Внешние угрозы являются следствием действий субъектов, не имеющих отношения к компании, наиболее типичными примерами являются хакерская атака на информационную систему и саботаж поддерживающей инфраструктуры.

По признаку намеренности угрозы разделяют на преднамеренные и непреднамеренные. К непреднамеренным угрозам относят факты случайного удаления данных персоналом, форс-мажорные обстоятельства, связанные с работой информационной системы, стихийные бедствия, ведущие к поломке аппаратного обеспечения и т.д. Преднамеренные угрозы имеют своей целью нанесение ощутимого ущерба предприятию, а субъекты, осуществляющие такие действия, следуют четким планам по преодолению возможной защиты.

В зависимости от цели угрозы выделяют действия, направленные на получение данных, уничтожение данных, изменение или внесение данных, нарушение работы программного обеспечения, контроль над работой программного обеспечения и прочие. Наибольшее значение имеют угрозы, направленные на получение закрытых, конфиденциальных данных предприятия для дальнейшего их использования в нелегальных целях, например, хищение данных по коммерческим контрактам, патентам, изобретениям или разработкам с целью их последующей перепродажи конкурентам.

Функциональная классификация угроз информационной безопасности оперирует четырьмя критериями.

Функциональные угрозы информационной безопасности

Критерий информационной безопасности

Угрозы информационной безопасности

Общая информационная безопасность

По базовым признакам доступности, целостности, конфиденциальности, против которых угрозы направлены в первую очередь.

Компоненты информационных систем

На эти компоненты непосредственно направлены угрозы: данные, программы, аппаратура, поддерживающая инфраструктура.

Действия/угрозы природного/техногенного характера

Расположение источника угроз

Внутри информационной системы или вне ее

Учитывая многогранность современных информационных систем, можно согласиться с утверждением, что “нельзя защититься от всех мыслимых и немыслимых угроз ИБ хотя бы потому, что невозможно предусмотреть действия злоумышленников, не говоря уж обо всех ошибках пользователей” [3]. Выстраивая информационную систему и предпринимая конкретные шаги, направленные на предупреждение угроз информационной безопасности, необходимо прорабатывать меры прямой защиты от известных угроз и обеспечивать возможность оперативного реагирования на те угрозы, для которых меры защиты не предусмотрены базовым регламентом. Для обоих случаев существует ряд общих методов защиты, которые обеспечивают снижение ущерба, наносимого информационной системе вследствие нарушения информационной безопасности, позволяют снизить вероятность реализации максимального широкого спектра угроз и обезопасить предприятие от различных внешних атак и ошибок внутренних пользователей. В соответствии с концепцией информационной безопасности они разделяются на аппаратные, программные и коммуникационные.

Выводы

Сегодня наблюдается критически высокое значение информационных активов предприятий в контексте их превалирующего значения по отношению к стоимости материальных ресурсов организации.

Учитывая уровень современного развития информационных технологий, вопросы обеспечения защиты информации становятся одной из фундаментальных детерминант экономической безопасности компании. Информационная безопасность представляется единственно возможным направлением для предупреждения нанесения ущерба экономическим интересам компании путем организации защиты от существующих и потенциальных угроз информационным ресурсам компании.

  1. Борисов М.А., Заводцев И.В., Чижов И.В. Основы программно-аппаратной защиты информации. – М.: Либроком, 2012.
  2. Галатенко В.А. Стандарты информационной безопасности. – М.: Интернет-университет информационных технологий, 2006.
  3. Мельников В.П., Клейменов С.А., Петраков А.М. Информационная безопасность. – М.: Академия, 2012.

Оцените статью
Добавить комментарий