Проект информационной безопасности для предприятия ООО «Темп-Авто»

Содержание.

 

Введение 3

1. Концепция информационной  безопасности 5

1.1. Классификация угроз информационной безопасности 5

1.2. Направления защиты информации 9

1.3. Сущность и виды угроз компьютерной информации 14

2. Анализ преднамеренных угроз компьютерной информации 16

2.1. Разновидность преднамеренных угроз компьютерной информации 16

2.2. Анализ вредоносных программ 17

2.3. Основные принципы защиты компьютерной информации от вредоносных программ 20

3. Проект информационной безопасности для предприятия                  ООО    «Темп-Авто»  22

Заключение 

Список использованной литературы 28

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

 

Быстрое развитие вычислительной техники привело к созданию различных  информационных и управляющих систем. Этим системам стали доверять всё  более ответственную работу, от качества которой зависит благосостояние и работоспособность людей, организаций, государств. Автоматизированные системы  управляют технологическими процессами на предприятиях, выполняют финансовые операции, обрабатывают секретную и  конфиденциальную информацию. Относительно низкая цена на вычислительную технику  привела к резкому расширению сфер её применения.

Широкое распространение вычислительной техники как средства обработки информации привело к информатизации общества и появлению принципиально новых информационных технологий.

Появление любых технологий, как правило, имеет как положительные, так и отрицательные стороны. Информационные технологии, также не являются исключением из этого правила, и поэтому следует заранее  позаботиться о безопасности при  разработке и использовании таких  технологий.

В целом, использование новейших информационных технологий делает киберпреступность не только прибыльным, но и достаточно безопасным делом. Проблема киберпреступности в последнее время приобретает мировые масштабы. Так, например, компания Dassault Systemes, в результате незаконного вторжения и кражи программного обеспечения понесла убытки в размере 300 млн. руб. Ежегодные убытки от киберпреступности составляют десятки миллиардов долларов.

В этих условиях защите информации от неправомерного доступа к ней  отводится весьма значительное место. Целями защиты информации являются: предотвращение утечки, разглашения, модификации, искажения, копирования уничтожения информации; обеспечение правового режима документированной информации как объекта собственности; защита прав людей на сохранение конфиденциальности и личной тайны.

Конечной целью информационной безопасности является защита всех категорий  субъектов, прямо или косвенно участвующих  в процессах информационного  взаимодействия, от нанесения им материального, или иного ущерба в результате случайных, или преднамеренных воздействий  на информацию и системы её обработки  и передачи.

В качестве защищаемых объектов должна рассматриваться информация, и все её носители (отдельные компоненты и автоматизированная система обработки информации в целом). Обеспечение безопасности вычислительной системы предполагает создание препятствий для любого несанкционированного вмешательства в процесс её функционирования.

Целью данной курсовой работы является анализ концепции защиты информационной безопасности. Данная цель позволила определить следующие задачи:

• Проанализировать концепцию информационной безопасности
• Провести классификацию угроз информационной безопасности
• Выявить направления защиты информации
• Раскрыть сущность и виды угроз компьютерной информации
• Провести анализ преднамеренных угроз компьютерной информации
• Рассмотреть разновидности преднамеренных угроз компьютерной информации
• Детально изучить вредоносных программ
• Определить основные принципы защиты компьютерной информации от вредоносных программ

Предмет данной курсовой работы – информационная безопасность торговых предприятий.

Объектом данной курсовой работы является торговое предприятие  ООО «Темп-Авто», которое занимается продажей, ремонтом и обслуживание автомобилей различных марок.

 

1. Концепция информационной безопасности.

 

1. Угрозы информационной безопасности.

 

Угрозы информационной безопасности делятся на два основных типа – это естественные и искусственные угрозы.

К естественным угрозам относятся  пожары, наводнения, ураганы, удары  молний и другие стихийные бедствия и явления, которые не зависят от человека. Для обеспечения безопасности информации, необходимым условием является оборудование помещений, в которых находятся элементы системы (носители цифровых данных, серверы, архивы и пр.), противопожарными датчиками, назначение ответственных за противопожарную безопасность и наличие средств пожаротушения.

Искусственные угрозы делятся  на преднамеренные, и непреднамеренные:

• Непреднамеренные угрозы – это действия, которые совершают люди по неосторожности, незнанию, невнимательности или из любопытства.
• Преднамеренные угрозы – угрозы, связанные со злым умыслом преднамеренного физического разрушения, впоследствии выхода из строя системы.

Рассмотрим подробнее  преднамеренные угрозы. По конечному  проявлению можно выделить следующие  угрозы информации:

1. Ознакомление.
2. Модификация.
3. Уничтожение.
4. Блокирование.

 

 

 

Рассмотрим соответствие свойств и угроз информации (рис.1).

 

 

 

 

 

 

 

 

 

 

 

 

 

• Ознакомление с конфиденциальной информацией может происходить различными способами. Нарушение конфиденциальности связано с ознакомление с информацией тех лиц, для которых она не предназначалась.
• Модификация информации подразумевает под собой изменение состава и содержания сведений. Модификация не подразумевает полное уничтожение информации.
• Уничтожение направлено на целостность информации и приводит к её полному разрушению. При утере информации она исчезает безвозвратно и не может быть восстановлена.
• Блокирование информации приводит к потере доступа, то есть недоступности информации. При потере доступа к информации она по-прежнему существует, но воспользоваться ей нельзя.

Перечисленные выше угрозы информации могут быть классифицированы по следующим  направлениям (рис.2)

 

 

 

 

 

 

 

 

 

 

 

 

 

По приведенному выше рисунку мы видим, что источники информационных угроз могут быть как внутренними, так и внешними. Часто такое деление происходит по признаку принадлежности к объекту информационной защиты и по территориальному признаку (рис.3).

 

Соотношение внешних и  внутренних угроз в среднем можно  охарактеризовать так:

• 82% угроз – сотрудники фирмы, при их прямом, или опосредованном участии;
• 17% угроз – внешние угрозы;
• 1% угроз – случайные лица;

Информация всегда адресна и всегда имеет владельца. Адресность определяется собственником информации. Если это право подчеркивается в сообщении (гриф секретности), то информация становится конфиденциальной. Получая такую информацию, пользователь не может ею распоряжаться, она ему не принадлежит.

Право собственности определяется действующим законодательством. В  зависимости от вида собственности  информацию можно отнести к информации государственной, коммерческой, личной.

Также информацию различают  по значимости (рис.4.):

 

 

 

 

 

 

 

 

 

 

1.2 Направления  защиты информации

С учетом практических наблюдений обеспечения информационной безопасности выделяют следующие направления  защиты информации:

1. Организационная защита – регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей, или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
2. Правовая защита – специальные законы и другие правила, процедуры, нормативные акты, мероприятия, обеспечивающие защиту информации на основе законодательства и права.
3. Инженерно-техническая защита – совокупность специальных технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.

Рассмотрим каждое из направлений  защиты информации более подробно.

Организационная защита обеспечивает охрану, работу с кадрами и документами; использование технических средств  безопасности и информационно-аналитическую  деятельность по выявлению внутренних и внешних угроз по производственной деятельности.

Организационные мероприятия  играют существенную роль в создании надежной защиты информации. Для этого  необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы, или сводили к минимуму возможность возникновения утечки конфиденциальной информации.

К таким мероприятиям можно  отнести:

• Организацию режима и охраны. Их цель – исключить возможность проникновения на территорию и в помещения посторонних лиц, обеспечение контроля прохода и перемещения сотрудников и посетителей, создание зон контроля с самостоятельными системами доступа, поддержание пропускного режима и контроля временного рабочего графика сотрудников.
• Организацию работы с документами, включая их учет, исполнение, возврат, хранение и уничтожение.
• Организацию использования средств сбора, обработки, накопления и хранения конфиденциальной информации.
• Организацию работ по анализу угроз конфиденциальной информации и выработке мер по обеспечению её защиты. (рис. 5.)

 

 

 

 

 

 

 

 

Одним из важнейших организационных  мероприятий является создание специальных  служб защиты информации в закрытых информационных системах в виде администраторов  безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального  характера.

 

Правовая защита информации. Требования информационной безопасности должны органически включаться во все уровни законодательства, в том числе конституционное законодательство, законы по организации государственной системы управления, специальные законы. Правовые акты, ориентированные на правовую защиту информации можно классифицировать следующим образом:

• Первый блок – конституционное законодательство. Нормы, касающиеся вопросов информатизации и защиты информации.
• Второй блок – общие законы, кодекса, которые включают нормы по вопросам информатизации и информационной безопасности.
• Третий блок – законы об организации управления, касающиеся отдельных структур хозяйства, экономики и определяющие их статус. Они включают отдельные нормы по вопросам защиты информации.
• Четвертый блок – законы, полностью относящиеся к конкретным сферам отношений, процессам. Именно состав и содержание этого блока законов и создает специальное законодательство, как основу правового обеспечения информационной безопасности.
• Пятый блок – законодательство субъектов Российской Федерации, касающееся защиты информации.
• Шестой блок – подзаконные нормативные акты по защите информации.
• Седьмой блок – правоохранительное законодательство России, содержащее нормы об ответственности за правонарушение в сфере информатизации.

Специальное законодательство в области безопасности информационной деятельности может быть представлено совокупностью законов. Эти законы определяют основы защиты информации в системах обработки и при  её использовании с учетом категорий  доступа к открытой информации и  к информации с ограниченным доступом (Рис. 6).¹

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Таким образом, правовая защита информации обеспечивается нормативно-законодательными актами, представляющими собой по уровню иерархическую систему от Конституции РФ до функциональных обязанностей и контракта отдельного конкретного  исполнителя, определяющих перечень сведений, подлежащих охране, и меры ответственности  за их разглашение.

 

Инженерно-техническая защита информации – совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.