Защита информации ограниченного доступа в ООО «Анкад»

Каналы несанкционированного доступа и утечки информации могут  быть двух типов: организационные и  технические. Обеспечиваются они легальными и нелегальными методами.

Таким образом, получение документов или информации с ограниченным доступом может быть единичным явлением или регулярным процессом, протекающим на протяжении относительно длительного времени.

Поэтому любые  информационные ресурсы организации являются весьма уязвимой категорией, и при интересе, возникшем к ним со стороны злоумышленника, опасность их утечки становится достаточно реальной.

Желательна  предварительная оценка аналитиками  подготовленных к публикации материалов о фирме, выставочных проспектов, рекламных изданий и т.п., их участие в презентациях, выставках, собраниях акционеров, переговорах, а также собеседованиях и тестированиях кандидатов на должности. Последнее является одной из основных и наиболее важных обязанностей информационно-аналитической службы, так как именно на этом этапе можно с определенной долей вероятности перекрыть один из основных организационных каналов - поступление злоумышленника на работу в фирму.

1.3 Угрозы  и система защиты конфиденциальной информации

 

Под угрозой  или опасностью утечки информации понимается единичное или комплексное, реальное или потенциальное, активное или  пассивное проявление неблагоприятных  возможностей внешних или внутренних источников угрозы создавать критические  ситуации, события, оказывать дестабилизирующее воздействие на защищаемые и охраняемые информационные ресурсы, в том числе и финансовые, включая документы и базы данных.

Защищают и  охраняют, как правило, не всю или  не всякую информацию, а наиболее важную, ценную для ее собственника, ограничение распространения которой приносит ему какую-то пользу или прибыль, возможность эффективно решать стоящие перед ним задачи

Под защищаемой информацией понимают сведения, на использование и распространение  которых введены ограничения их собственником.

Под общими признаками защиты любого вида охраняемой информации понимают следующее;

1. защиту информации организует и проводит собственник, владелец уполномоченное на это лицо;
2. защитой информации собственник охраняет свои права на владение и распространение информации, стремится оградить ее от незаконного завладения и использования в ущерб его интересам;
3. защита информации осуществляется путем проведения комплекса мер по ограничению доступа к защищаемой информации и созданию условий, исключающих или существенно затрудняющий несанкционированный доступ к засекреченной информации.

Следовательно, защита информации - есть комплекс мероприятий, проводимых собственником информации по ограждению своих прав на владение и распоряжение прав на информацию, создание условий, ограничивающих и исключающих или существенно затрудняющих несанкционированный доступ к засекреченной информации и ее носителям.

Основной угрозой  информационной безопасности является несанкционированный (незаконный, неразрешенный) доступ злоумышленника или постороннего лица к документированной информации с ограниченным доступом и, как результат, овладение информацией и незаконное, противоправное ее использование.

Наиболее часто  встречающимися угрозами (опасностями) конфиденциальных сведении в документопотоках могут быть:

1. Несанкционированный доступ постороннего лица к документам, делам и базам данных за счет его любопытства или обманных, провоцирующих действий, а также случайных или умышленных ошибок персонала фирмы;
2. Утрата документа или его отдельных частей (листов, приложений, схем, копий, экземпляров, фотографий и др.), носителя чернового варианта документа или рабочих записей за счет кражи, утери, уничтожения;
3. Утрата информацией конфиденциальности за счет ее разглашения персоналом или утечки по техническим каналам, считывания данных в чужих массивах, использования остаточной информации на копировальной ленте, бумаге, дисках и дискетах, ошибочных действий персонала;
4. Подмена документов, носителей и их отдельных частей с целью фальсификации, а также сокрытия факта утери, хищения;
5. Случайное или умышленное уничтожение ценных документов и баз данных, несанкционированная модификация и искажение текста, реквизитов, фальсификация документов;
6. Гибель документов в условиях экстремальных ситуаций.

Для электронных  документов угрозы особенно реальны, т.к. факт кражи информации практически  трудно обнаружить. В отношении конфиденциальной информации, обрабатываемой и хранящейся в компьютерах, условия возникновения  угроз, по мнению ряда специалистов, классифицируются по степени риска следующим образом:

1. Непреднамеренные ошибки пользователей, референтов, операторов, референтов, управляющих делами, системных администраторов и других лиц, обслуживающих информационные системы;
2. Кражи и подлоги информации;
3. Стихийные ситуации внешней среды;
4. Заражение вирусами.

В соответствии с характером указанных выше угроз  формируются задачи обеспечения  защиты информации в документопотоках, направленные на предотвращение или  ослабление этих угроз.

Защита информации представляет собой регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и секретности (конфиденциальности) информационных ресурсов предприятия. Данный технологический процесс в конечном счете должен обеспечить надежную информационную безопасность организации в его управленческой и финансово-производственной деятельности.

Система защиты информационных ресурсов включает в  себя следующие элементы:

• правовой;
• организационный;
• инженерно-технический;
• программно-аппаратный;
• криптографический.

В каждой вышеупомянутой части обеспечение системы защиты информации организации могут быть реализованы на практике только отдельно составные элементы, в зависимости  от: поставленных задач защиты организации; величины фирмы.

Структура системы, состав и содержание комплекса частей обеспечения системы защиты информации фирмы, их взаимосвязь зависят от ценности защищаемой и охраняемой информации, характера возникающих угроз информационной безопасности предприятия, требуемой защиты и стоимости системы.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2. ЗАЩИТА ИНФОРМАЦИИ ОГРАНИЧНЕННОГО ДОСТУПА В ООО «АНКАД»

2.1 Характеристика предприятия ООО «Анкад»

 

Полное официальное  наименование предприятия -  общество с ограниченной ответственностью «Анкад». Компания ООО «Анкад» имеет два структурных подразделения: программный и аппаратный. Ассортимент изделий, вырабатываемых на предприятии, насчитывает 30 наименований. ООО «Анкад» насчитывает в общей сложности 78 штатных сотрудников.  Компания занимается созданием и продажей программных и аппаратных средств в области автоматизации рабочего процесса на фирмах.

Организационная структура управления представлена на рисунке 2.1.

Рисунок 2.1 - Организационная структура управления ООО «Анкад»

Эффективность деятельности ООО «Анкад» находится в прямой зависимости от работы каждого из специалистов предприятия. Так, например, общее руководство ООО «Анкад» осуществляет директор. Он организует и координирует работу предприятия в целом и его подразделений, несет ответственность за состояние производства. В непосредственном подчинении директора находятся начальник программного отдела, начальник аппаратного отдела и главный бухгалтер.

Отдел сбыта осуществляет работу по реализации готовых изделий, а также товаров для продажи, отвечает за их сохранность на складах готовой продукции и оптовом складе, а также руководит процессом погрузки и транспортирования продукции и товаров.

Главный бухгалтер осуществляет экономический анализ хозяйственной  деятельности предприятия, ведет контроль над выполнением плановых заданий. В его подчинении находятся три бухгалтера и кассир.

Основным направлением работы предприятия является - созданием  и продажей программных и аппаратных средств в области автоматизации  рабочего процесса.

Экономическую характеристику деятельности ООО «Анкад» можно представить посредством анализа основных показателей его хозяйственно-финансовой деятельности.

Такие показатели как выручка  и прибыль являются показателями экономического эффекта, то есть они являются абсолютными, объемными показателями и не дают нам полного представления об эффективности деятельности предприятия. В целом за истекший период произошло увеличение значений показателей, кроме объема производства.

В ООО «Анкад» построена линейная управленческая структура т.е. все подразделения подчинены непосредственно директору. Маркетингом на предприятии занимается непосредственно сам директор, в его функции входят: ведение рекламной работы, контроль за закупкой и поставкой товаров и продукции, осуществление контроля за платежеспособностью покупателей, осуществление контроля за соблюдением сроков поставки, обслуживание покупателей.

Начальник отдела сбыта отвечает за закупку сырья  и материалов для производства, а  также за продажу готовой продукции  и товаров для продажи.

Коммерческий  успех зависит от возврата вложенных  средств через реализацию товара. Главная задача директора является исследование и возможно более полно заполнить рынок производимой продукцией. Продажа продукции и товаров и их оплата производится наличными и безналичными расчетами.

 

2.2 Источники информации ограниченного доступа, обеспечение ее конфиденциальности

Источники, которые содержат информацию конфиденциального характера обладают своей определенной спецификой и соответственно требует отдельного внимания при разработке системы защиты. Обычно, источники конфиденциальной информации не получают должной защиты, либо все внимание уделяется определенному источнику, в то время как остальные остаются практически открытыми. Определить, какой из источников наиболее важен весьма сложно. Это зависит от индивидуальных особенностей предприятия. Да и к тому же для злоумышленников важен результат, а не то из какого источника он получен. Поэтому необходимо защищать все источники, даже те которые считаются наименее важными.

Потенциальными источниками утечки на анализируемом предприятии ООО «Анкад» являются:

1. Документация  предприятия (входящие-исходящие, приказы, бизнес планы, деловая переписка и т.п.);

Документы - это  самая распространенная форма обмена информацией, ее накопления и хранения. Документ отличает то, что его функциональное назначение довольно разнообразно. Важной особенностью документов является то, что он иногда является единственным источником важнейшей информации (например, контракт, долговая расписка и т.п.), а, следовательно, их утеря, хищение или уничтожение может нанести непоправимый ущерб. Совокупность документов предприятия имеет разветвленную структуру и является предметом отдельного рассмотрения, т.к документ может быть представлен не только различным содержанием, но и различными физическими формами - материальными носителями.

Разнообразие  форм и содержания документов по назначению, направленности, характеру движения и использования является весьма заманчивым источником для злоумышленников, что, естественно, привлекает их внимание к возможности получения интересующей информации.

Обобщенно систему  контроля и учета документов можно представить в следующем виде:

1. Учет всей  документации предприятия с классификацией  по сфере применения, дате, содержанию  и т.п.

2. Регистрация  и учет всех входящих/исходящих  документов предприятия с фиксацией  в специальном журнале информации о дате получения/отправления документа, откуда поступил, или куда отправлен, классификация (письмо, счет, договор, приглашение и т.п.).

3. Регистрация  документов, с которых делаются  копии с фиксацией в специальном  журнале (дата копирования, количество копий, для кого или с какой целью производятся копии и т.п.).

4. Особый режим  уничтожения документов. Перед уничтожением  документов необходимо проконтролировать  их содержание во избежание  случайного уничтожения нужных  документов. Важно, чтобы документы  не просто выбрасывались в корзину, а предварительно измельчались при помощи «шредера» (уничтожителя бумаги) или в ручную таким образом, чтобы их невозможно было бы восстановить. Документы, имеющую особую ценность, после измельчения целесообразно сжечь. Об уничтожении документов в обязательном порядке составляется акт, который подписывается ответственным лицом, а также лицами присутствующими при уничтожении.