Министерство  образования Российской Федерации

 «Российский  государственный профессионально-педагогический  университет»

Кафедра сетевых информационных систем 
 
 
 
 
 
 
 

Контрольная РАБОТА

по дисциплине

«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»

Тема: Организационные  меры по обеспечению безопасности на предприятии 

Вариант № 5 
 
 
 
 
 
 
 

 
 
 
 
 
 
 
 
 
 
 
 

Екатеринбург 2011 

     СОДЕРЖАНИЕ

 

Задание 1 3

ВВЕДЕНИЕ 3

ПРОБЛЕМЫ БЕЗОПАСНОСТИ ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ (ЛВС) И ИНТЕГРИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ УПРАВЛЕНИЯ ПРЕДПРИЯТИЕМ (ИИСУП) 9

ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ КОМПЛЕКСНОЙ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 11

ОСНОВНЫЕ ЗАДАЧИ, РЕШАЕМЫЕ СИСТЕМОЙ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ 13

ЗАКЛЮЧЕНИЕ 19

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ 21

Задание 2 22

Анализ деятельности предприятия 22 
 

 

     

     Задание 1

     ВВЕДЕНИЕ

     В настоящее время информационная безопасность является одной из важнейших  проблем современного общества.

     В начале 80-х гг. XX века защита информации могла быть эффективно обеспечена при  помощи специально разработанных организационных  мер и программно - аппаратах средств  шифрования. С изобретением локальных  и глобальных сетей, каналов спутниковой  связи вопрос об информационной безопасности встал наиболее остро.

     Информационная  безопасность предприятия — это  защищенность информации, которой располагает предприятие (производит, передает или получает) от несанкционированного доступа, разрушения, модификации, раскрытия и задержек при поступлении. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода.

     Целью комплексной информационной безопасности является сохранение информационной системы предприятия в целости и сохранности, защита и гарантирование полноты и точности выдаваемой ею информации, минимизация разрушений и модификация информации, если таковые случаются.

     Компьютеризация, развитие телекоммуникаций предоставляют  сегодня широкие возможности  для автоматизированного доступа  к различным конфиденциальным, персональным и другим важным, критическим данным в обществе (его граждан, организаций и т. д.). Естественно, люди осознают появление такого ряда новых рисков и начинают беспокоиться об обеспечении необходимой безопасности подобной информации. Так, фирмы, долгое время специализировавшиеся на охране людей и объектов, начали выделять в качестве отдельного направления своей деятельности «компьютерную» безопасность, а в структуру практически всех компаний, занимающихся системной интеграцией, были введены специальные подразделения, разрабатывающие собственные комплексные меры по информационной безопасности.

     Проблема  создания и поддержания защищенной среды информационного обмена, реализующая определенные правила и политику безопасности современной организации, является весьма актуальной. Информация давно уже перестала играть эфемерную, чисто вспомогательную роль, превратившись в весьма важный и весомый, чуть ли не материальный, фактор со своими стоимостными характеристиками, определяемыми той реальной прибылью, которую можно получить от ее (информации) использования. В то же время, вполне возможен сегодня и вариант ущерба, наносимого владельцу информации (предприятию) путем несанкционированного проникновения в информационную структуру и воздействия на ее компоненты. Из этого очевидно, насколько актуален в наши дни вопрос с защитой информационных систем предприятий.

 

     

     ОСНОВНЫЕ  ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ  ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ 

     Основными принципами информационной безопасности являются:

• обеспечение целостности и сохранности данных, т.е. надежное их хранение в неискаженном виде;
• соблюдение конфиденциальности информации (ее недоступность для тех пользователей, которые не имеют соответствующих прав);
• доступность информации для всех авторизованных пользователей при условии контроля за всеми процессами использования ими получаемой информации;
• беспрепятственный доступ к информации в любой момент, когда она может понадобиться предприятию.

     Эти принципы невозможно реализовать без  особой интегрированной системы  информационной безопасности, выполняющей  следующие функции:

• выработку политики информационной безопасности;
• анализ рисков (т.е. ситуаций, в которых может быть нарушена нормальная работа информационной системы, а также утрачены или рассекречены данные);
• планирование мер по обеспечению информационной безопасности;
• планирование действий в чрезвычайных ситуациях;
• выбор технических средств обеспечения информационной безопасности.

     Политика  информационной безопасности определяет:

• какую информацию и от кого (чего) следует защищать;
• кому и какая информация требуется для выполнения служебных обязанностей;
• какая степень защиты необходима для каждого вида информации;
• чем грозит потеря того или иного вида информации;
• как организовать работу по защите информации.

     Обычно  руководители организации решают, какой  риск должен быть исключен, а на какой можно пойти, они же затем определяют объем и порядок финансирования работ по обеспечению выбранного уровня информационной безопасности.

     Идентификация угроз означает уяснение наступления из-за этого возможных негативных воздействий и последствий. Реализация угрозы может привести к раскрытию, модификации, разрушению информации или отказу в информационном обслуживании. Среди долговременных последствий реализации угрозы могут быть такие, как потеря бизнеса, нарушение какой-либо важной тайны, гражданских прав, адекватности данных, гибель человека и т.п. К последним следует относить: неавторизованный доступ к локальным вычислительным сетям (ЛВС), несоответствующий доступ к ресурсам ЛВС, неавторизованную модификацию данных и программ, раскрытие данных, раскрытие трафика ЛВС, подмену трафика ЛВС и, наконец, неработоспособность ЛВС.

     Политика в отношении безопасности должна быть такой, чтобы как можно реже требовалась ее модификация. В этой связи, может быть, более разумно просто принять положение о том, что программное обеспечение обнаружения вирусов должно находиться на персональном компьютере (ПК) ЛВС, серверах и т. д., а администраторы ЛВС должны каждый раз сами определять конкретный используемый информационный продукт.

     Все дело в том, что стандарты и  рекомендации статичны, по крайне мере, в двух аспектах. Во-первых, они не учитывают обычно постоянной перестройки защищаемых систем и их окружения. Во-вторых, они содержат лишь критические рекомендации по формированию режима безопасности.

     Другими словами, стандарты и рекомендации являются лишь отправной точкой в длинной и сложной цепочке действий по защите информационных систем организаций. Обеспечение безопасности - это комплексная проблема, для решения которой требуется сочетание законодательных, организационных и программно-технических мер. К сожалению, законодательная база сегодня отстает от потребностей практики, а имеющиеся законы и указы носят в основном теоретический характер. Одновременно следует учитывать, что в нашей стране сегодня чаще используется зарубежное аппаратно-программное обеспечение. В условиях жестких ограничений на импорт подобной продукции и отсутствия межгосударственных соглашений о взаимном признании сертификатов, потребители, желающие оставаться законопослушными, оказываются по существу в безвыходном положении, так как у них подчас нет возможности заказать (и получить) современную систему по информационной безопасности «под ключ» и с сертификатом безопасности.

     Следующий уровень этой проблемы после законодательного - управленческий. Руководство каждой организации должно само определиться с необходимым ему режимом безопасности и выделить для его обеспечения ресурсы нередко значительные. Главное, надо выработать политику безопасности, которая задаст общее направление работ в данной области. Важный момент при выработке политики безопасности - анализ угроз и выбор адекватных мер противодействия.

     Для поддержания режима информационной безопасности особое значение имеют также программно-технические меры, поскольку основная угроза компьютерным системам исходит прежде всего от самих этих систем (сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т. п.).

     В качестве средств защиты данных от попыток несанкционированного доступа  к ним как с внешней стороны, так и изнутри, предлагаются современные программно-технические средства. В комплексы защиты могут входить различные по составу и функциональному назначению системы и средства, применяемые, во-первых, в соответствии с идеологией, заложенной в основу построения тех или иных систем управления, и, во-вторых, с учетом принятого уровня информационной безопасности, учитывающего возможные дестабилизирующие факторы.

     Одним из нужных шагов в решении проблемы безопасности интегрированных систем организационного типа следует считать необходимость создания органа, который бы мог заниматься сертификацией средств и методов защиты информации при работе именно с такими системами.

 

     

     ПРОБЛЕМЫ  БЕЗОПАСНОСТИ ЛОКАЛЬНЫХ  ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ (ЛВС) И ИНТЕГРИРОВАННЫХ  ИНФОРМАЦИОННЫХ СИСТЕМ УПРАВЛЕНИЯ ПРЕДПРИЯТИЕМ (ИИСУП)

     Для обеспечения безопасности локальных  вычислительных сетей (ЛВС) и ИИСУП  необходимы:

• разработка адекватной политики управления и безопасности ЛВС и ИИСУП в целом;
• обучение персонала предприятия особенностям использования ЛВС и ее защиты;
• использование адекватных механизмов защиты для рабочих станций;
• применение адекватной защиты в ходе передачи информации.

     Политика  безопасности должна определять роль, каждого служащего в деле ЛВС реализации адекватной защищенности и передаваемой в ней информации.

     Управление  ЛВС и ИИСУП должно иметь необходимые  для нормальной работы финансовые средства, время и ресурсы. Слабое управление сетью может приводить к ошибкам защиты. В результате этого могут появиться такие проблемы, как ослабленная конфигурация защиты, небрежное выполнение мер по защите или даже неиспользование необходимых механизмов защиты информации. Использование ПК в среде ЛВС и ИИСУП также сопровождается своими рисками. В ПК практически отсутствуют меры защиты в отношении аутентификации пользователей, управления доступом к файлам, ревизии деятельности пользователей и т. д. В большинстве случаев защита информации, хранимой и обрабатываемой на сервере ЛВС прекращается в тот момент, когда она посылается на ПК.

     «Малограмотность» пользователей в отношении безопасности ЛВС и ИИСУП также увеличивает риски. Ведь люди, не знакомые с механизмами защиты, мерами защиты и т. п. вполне могут использовать их неправильно и, уж конечно, не безопасно. Ответственность за внедрение механизмов и мер защиты, а также за следование правилам использования ПК в среде ЛВС и ИИСУП обычно ложится на пользователей ПК. Поэтому им должны быть даны соответствующие инструкции и рекомендации для поддержания приемлемого уровня защиты в среде ЛВС и ИИСУП.