Организационные меры по обеспечению безопасности на предприятии

Автор работы: Пользователь скрыл имя, 12 Декабря 2011 в 21:19, контрольная работа

Краткое описание

В настоящее время информационная безопасность является одной из важнейших проблем современного общества.
В начале 80-х гг. XX века защита информации могла быть эффективно обеспечена при помощи специально разработанных организационных мер и программно - аппаратах средств шифрования. С изобретением локальных и глобальных сетей, каналов спутниковой связи вопрос об информационной безопасности встал наиболее остро.
Информационная безопасность предприятия — это защищенность информации, которой располагает предприятие (производит, передает или получает) от несанкционированного доступа, разрушения, модификации, раскрытия и задержек при поступлении. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода.

Содержание работы

Задание 1 3
ВВЕДЕНИЕ 3
ПРОБЛЕМЫ БЕЗОПАСНОСТИ ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ (ЛВС) И ИНТЕГРИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ УПРАВЛЕНИЯ ПРЕДПРИЯТИЕМ (ИИСУП) 9
ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ КОМПЛЕКСНОЙ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 11
ОСНОВНЫЕ ЗАДАЧИ, РЕШАЕМЫЕ СИСТЕМОЙ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ 13
ЗАКЛЮЧЕНИЕ 19
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ 21
Задание 2 22
Анализ деятельности предприятия 22

Содержимое работы - 1 файл

Информац.безопасность.docx

— 140.49 Кб (Скачать файл)
ify">     

     ТРЕБОВАНИЯ  ПО ОБЕСПЕЧЕНИЮ КОМПЛЕКСНОЙ  СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

     ТРЕБОВАНИЯ  ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОРПОРАТИВНОЙ  ИНФОРМАЦИОННОЙ СИСТЕМЫ  ПРЕДПРИЯТИЯ

     Как правило, они включают в себя:

    • Организационные меры защиты, сводящиеся к регламентации;
  • допуска к использованию информационных ресурсов;
  • процессов проведения технологических операций с информационными ресурсами КИС;
  • процессов эксплуатации, обслуживания и модификации аппаратных и программных ресурсов.
    • Технические меры и методы защиты, заключающиеся в применении средств;
  • идентификации и аутентификации;
  • разграничения доступа;
  • обеспечения и контроля целостности;
  • антивирусной защиты;
  • межсетевого экранирования;
  • контроля электронной почты;
  • контроля и регистрации событий безопасности;
  • криптографической защиты;
  • виртуальных частных сетей (VPN);
  • централизованного управления системой информационной безопасности.

     ТРЕБОВАНИЯ  К ПРОГРАММНО-АППАРАТНЫМ СРЕДСТВАМ

     Программно-аппаратные средства ИС предприятия должны:

  • обеспечивать возможность комплексного решения вопросов защиты информации, в том числе возможность удаленного администрирования;
  • иметь встроенные средства криптографической защиты информации и поддерживать технологию электронной подписи;
  • полноценно функционировать в распределенной корпоративной среде и иметь минимальное программное обеспечение на клиентских местах;
  • учитывать требования действующих нормативных документов по защите информации АС, а также законодательство Российской Федерации, ГОСТы, нормативные, руководящие и другие документы уполномоченных государственных органов по вопросам информатизации, защиты информации и обеспечения информационной безопасности.
 

 

     

     ОСНОВНЫЕ  ЗАДАЧИ, РЕШАЕМЫЕ СИСТЕМОЙ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ

  1. Управление доступом пользователей к ресурсам автоматизированной системы с целью ее защиты от неправомерного, случайного или умышленного вмешательства в ее работу и несанкционированного (с превышением предоставленных полномочий) доступа к ее информационным, программным и аппаратным ресурсам со стороны посторонних лиц, а также персонала предприятия и пользователей.
  2. Защита данных, передаваемых по каналам связи.
  3. Регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отношение к ее безопасности.
  4. Контроль работы пользователей системы со стороны администрации и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы.
  5. Контроль и поддержание целостности критичных ресурсов системы защиты и среды исполнения прикладных программ.
  6. Обеспечение замкнутой среды проверенного программного обеспечения с целью защиты от бесконтрольного внедрения в систему потенциально опасных программ (в которых могут содержаться вредоносные закладки или опасные ошибки) и средств преодоления системы защиты, а также от внедрения и распространения компьютерных вирусов.
  7. Управление средствами системы защиты.

     Различают внешнюю и внутреннюю безопасность компьютерных систем. Внешняя безопасность включает защиту автоматизированных систем от стихийных бедствий и от проникновения в системы злоумышленников извне в целях хищения информации, получения доступа к ней или вывода системы из строя. Внутренняя безопасность компьютерных систем основана на создании надежных и удобных механизмов регламентации деятельности всех законных пользователей и обслуживающего персонала. Результатом этих усилий должно быть безусловное соблюдение установленных на предприятии правил доступа к ресурсам системы.

     По  способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на правовые (законодательные), морально-этические, организационные (административные), физические и технические (аппаратные и программные).

     Организационные (административные) меры защиты — это меры, регламентирующие процессы функционирования системы обработки данных, порядок использования ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей системы таким образом, чтобы максимально снизить возможность угроз безопасности. Они включают:

  • мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных систем и других объектов обработки данных;
  • мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности);
  • мероприятия, осуществляемые при подборе и подготовке персонала, обслуживающего систему;
  • организацию охраны и надежного пропускного режима;
  • организацию учета, хранения, использования и уничтожения документов и носителей с информацией;
  • распределение реквизитов разграничения доступа(паролей, ключей шифрования и т. п.);
  • организацию явного и скрытого контроля за работой пользователей;
  • мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т. п.

     Физические меры защиты основаны на применении разного рода электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

     Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав автоматизированных систем и выполняющих функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое преобразование информации и т. д.).

     Персональный  компьютер (уровень  пользователя)

     Компьютер, не включенный в локальную сеть и имеющий конфиденциальную информацию, подвержен большому количеству различных угроз.

     Угрозы:

  • НСД к компьютеру со стороны сотрудников и других лиц;
  • потеря информации в результате заражения компьютерными вирусами;
  • НСД к информации через наводки кабелей ЛВС или электромагнитное излучение средств вычислительной техники;
  • НСД к информации на съѐмных носителях информации (включая распечатки на бумажных носителях);
  • НСД к информации, размещенной на отказавших узлах;
  • ПК, отправляемых в ремонт;
  • кража компьютера с конфиденциальной информацией.

     Пути  защиты информации:

  • аутентификация пользователя, т. е. проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности;
  • ограничение доступа сотрудников в помещения, в которых имеются компьютеры с конфиденциальной информацией - использование систем управления доступом;
  • защита от несанкционированной загрузки операционной системы - использование программно-аппаратных комплексов, предназначенных для защиты от несанкционированного доступа к ресурсам персонального компьютера, разграничение прав зарегистрированных пользователей по доступу к ресурсам ПК, автоматизированного контроля и протоколирования событий по доступу к компьютеру;
  • ограничение доступа сотрудников к внутренним ресурсам локального компьютера и к ресурсам Internet -использование специального комплекса защиты;
  • использование средств защиты от вирусов;
  • проведение специальных исследовательских работ и выполнение всех рекомендаций организации, проводившей данные работы.

     Угрозы  безопасности информации в локальной сети и пути ее защиты

     Большинство современных автоматизированных систем (локальные сети) состоят из следующих основных структурно-функциональных элементов:

  • рабочих станций - отдельных ЭВМ или удаленных терминалов сети, на которых реализуются автоматизированные рабочие места пользователей;
  • серверов или host-машин (служб файлов, печати, баз данных и т. п.);
  • межсетевых мостов (шлюзов, центров коммутации пакетов, коммуникационных ЭВМ);
  • каналов связи (локальных, телефонных, с узлами коммутации и т. д.).

     Рабочие станции являются наиболее доступными компонентами сетей, и именно с них  могут быть предприняты попытки  совершения несанкционированных действий. С рабочих станций осуществляется управление процессами обработки информации, запуск программ, ввод и корректировка данных, на дисках рабочих станций могут размещаться важные данные и программы обработки. На видеомониторы и печатающие устройства рабочих станций выводится рабочая информация пользователей, выполняющих различные функции и имеющих различные полномочия по доступу к данным и другим ресурсам системы.

     Именно  поэтому рабочие станции должны быть надежно защищены от доступа  посторонних лиц, и содержать  средства разграничения доступа  к ресурсам со стороны законных пользователей, имеющих разные полномочия. Пути защиты рабочих станций от НСД - организация централизованного назначения пользовательских полномочий по доступу к ресурсам рабочих станций и постоянный автоматизированный контроль их действий: использование специальных комплексов защиты и администрирования.

     В особой защите нуждаются такие привлекательные  для злоумышленников элементы сетей, как серверы (host-машины) и мосты. Первые как концентраторы больших объемов информации (баз данных), вторые — в качестве элементов, осуществляющих преобразование данных при согласовании протоколов обмена в различных участках сети. Решения по защите перечислены ниже:

  1. Ограничение доступа сотрудников в помещение, в котором имеются компьютеры с конфиденциальной информацией - использование систем управления доступом.
  2. Использование сетевых средств защиты - разграничение сетевых ресурсов для пользователей с помощью средств сетевой операционной системы.

     При организации корпоративной информационной сети с использованием Internet возможности несанкционированного доступа к информации достигают обычно наивысшего уровня. Угрозы:

  • организация внешних атак на корпоративную сеть;
  • внутренние угрозы информационным ресурсам корпоративной сети;
  • НСД к информации на серверах сети со стороны рабочих станций;
  • НСД к ресурсам рабочей станции со стороны сотрудников и других лиц;
  • НСД к информации через наводки кабелей ЛВС;
  • НДС к информации через электромагнитное излучение средств вычислительной техники;
  • НСД к информации на съѐмных носителях информации (включая распечатки на бумажных носителях);

     Способы защиты информации

     При работе в сети Internet помогает прежде всего «межсетевой экран», позволяющий  не только защититься от несанкционированных действий со стороны внешних сетей, но и организовать надежную защиту выделенного сервера или группы серверов внутри собственной сети или разделить целесообразным образом сегменты внутренней сети.

Информация о работе Организационные меры по обеспечению безопасности на предприятии