Политика предприятия в области информационной безопасности

КУРСОВОЙ ПРОЕКТ

по МДК.02.01. Программное обеспечение компьютерных сетей

на тему:«Программное обеспечение, реализации защиты информационных ресурсов, компьютерной сети предприятия.»

Выполнил: студент группы КС 13 Буйненко. Д.Т.

Проверил: преподаватель спец. дисциплин Ворванина И.В.

Оценка:_________________

Подпись:_________________

Дата:_________________

Нягань

План курсовой работы:

Глава 1. Анализ методов и средств защиты информационных ресурсов компьютерной сети.

1.1 Организация информационных ресурсов в компьютерной сети (обоснование использования сервера).

1.2 Требования к обеспечению защищенности информационных ресурсов в организованной компьютерной сети .

1.3 Обзор и анализ возможных средств защиты информационных ресурсов.

Глава 2. Применение программных средств для реализации безопасности использования информационных ресурсов компьютерной сети .

2.1 Распределение информационных ресурсов предприятия на примере медицинского учреждения.

2.2 Средства защиты против атак и несанкционированного доступа к информационным ресурсам, список существующих программ.

Заключение.

Список литературы.

Приложения.

Введение:

«Кто владеет информацией, тот владеет миром.»

Уинстон Черчилль.

Примечательная особенность нынешнего периода — переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергетические ресурсы.

Мы живем в мире информации. Владение информацией во все времена давало преимущества той стороне, которая располагала более точной и обширной информацией, тем более, если это касалось информации о своих соперниках. Это подтверждается и тем, что государственные и коммерческие секреты, а следовательно, и охота за ними, их добывание возникли на заре человеческого общества, когда появились государства, развивалась торговля между ними.

Информация - сведения о лицах, фактах, событиях, явлениях и процессов независимо от формы их представления.

Понятие «информация» сегодня употребляется весьма широко и разносторонне. Трудно найти такую область знаний, где бы оно не использовалось. Огромные информационные потоки буквально захлестывают людей. Объем научных знаний, например, по оценке специалистов, удваивается каждые пять лет.

Проблема защиты информации от несанкционированного доступа к ней возникла давно, с той поры, когда человеку по каким-либо причинам не хотелось делиться ею ни с кем или не с каждым человеком. С развитием человеческого общества, появлением частной собственности, государственного строя, борьбой за власть и дальнейшим расширением масштабов человеческой деятельности информация приобретает цену. Ценной становится та информация, обладание которой позволит ее существующему и потенциальному владельцам получить какой-либо выигрыш : материальный, политический, военный и т. д.

Глава 1.

1.1Организация информационных ресурсов в компьютерной сети (обоснование использования сервера).

Появление персональных компьютеров потребовало нового подхода к организации системы обработки данных, к созданию новых информационных технологий. Возникла потребность перехода от использования отдельных ЭВМ в системах централизованной обработки данных к распределенной обработке данных.

Распределенная обработка данных — это обработка данных, выполняемая на независимых, но связанных между собой компьютерах, представляющих распределенную систему.

Компьютерная (вычислительная) сеть — это совокупность компьютеров и терминалов, соединенных с помощью каналов связи в единую систему, удовлетворяющую требованиям распределенной обработки данных.

Абонентами сети (т. е. объектами, генерирующими или потребляющими информацию в сети) могут быть отдельные компьютеры, комплексы ЭВМ, серверы, терминалы, промышленные роботы, станки с числовым программным управлением и т. д.

В зависимости от территориального расположения абонентов компьютерные сети делятся на:

· глобальные — вычислительная сеть объединяет абонентов, расположенных в различных странах, на различных континентах. Глобальные вычислительные сети позволяют решить проолему объединения информационных ресурсов человечества и организации доступа к этим ресурсам;

· региональные — вычислительная сеть связывает абонентов, расположенных на значительном расстоянии друг от друга. Она может включать абонентов большого города, экономического региона, отдельной страны;

· локальные — вычислительная сеть объединяет абонентов, расположенных в пределах небольшой территории. К классу локальных сетей относятся сети отдельных предприятий, фирм, офисов и т. д.

Объединение глобальных, региональных и локальных компьютерных сетей позволяет создавать многосетевые иерархии, обеспечивающие мощные средства обработки огромных информационных массивов и доступ к неограниченным информационным ресурсам.

В общем случае компьютерная сеть представляется совокупностью трех вложенных друг в друга подсистем: сети рабочих станций, сети серверов и базовой сети передачи данных.

Рабочая станция (клиентская-машина, рабочее место, абонентский пункт, терминал) — это компьютер, за которым непосредственно работает абонент компьютерной сети. Сеть рабочих станций представлена совокупностью рабочих станций и средств связи, обеспечивающих взаимодействие рабочих станций с сервером и между собой.

Сервер — это компьютер, выполняющий общие задачи компьютерной сети и предоставляющий услуги рабочим станциям. Сеть серверов — это совокупность серверов и средств связи, обеспечивающих подключение серверов к базовой сети передачи данных.

Базовая сеть передачи данных — это совокупность средств передачи данных между серверами. Она состоит из каналов связи и узлов связи. Узел связи — это совокупность средств коммутации и передачи данных в одном пункте. Узел, связи принимает данные, поступающие по каналам связи, и передает данные в каналы, ведущие к абонентам.

Базовыми требованиями, определяющими архитектуру компьютерных сетей, являются следующие:

· открытость — возможность включения дополнительных компьютеров, терминалов, узлов и линий связи без изменения технических и программных средств существующих компонентов;

· живучесть — сохранение работоспособности при изменении структуры;

· адаптивность — допустимость изменения типов компьютеров, терминалов, линий связи, операционных систем;

· эффективность — обеспечение требуемого качества обслуживания пользователей при минимальных затратах;

· безопасность информации. Безопасность — это способность сети обеспечить защиту информации от несанкционированного доступа.

Указанные требования обеспечиваются модульной организацией управления процессами в сети, реализуемой по многоуровневой схеме. Чисдо уровней и распределение функций между ними существенно влияет на сложность программного обеспечения компьютеров, входящих в сеть, и на эффективность сети. Формальной процедуры выбора числа уровней не существует. Классической является семиуровневая схема. Эта архитектура пришита в качестве эталонной модели.

Уровень 1 — физический — реализует управление каналом связи, что сводится к подключению и отключению канала связи и формированию сигналов, представивших передаваемые данные.

Уровень 2 — канальный — обеспечивает надежную передачу данных через физический канал, организованный на уровне 1.

Уровень 3 — сетевой — обеспечивает выбор маршрута передачи сообщений по линиям, связывающим узлы сети.

Уровни 1-3 организуют базовую сеть передачи данных как систему, обеспечивающую надежную передачу данных между абонентами сети.

Уровень 4 — транспортный — обеспечивает сопряжение абонентов сети с базовой сетью передачи данных.

Уровень 5 — сеансовый — организует сеансы связи на период взаимодействия процессов. На этом уровне по рапросам процессов создаются порты для приема и передачи сообщений и организуются соединения — логические каналы.

Уровень 6 — представительный — осуществляет трансформацию различных языков, форматов данных и кодов для взаимодействия разнотипных компьютеров.

Уровень 7 — прикладной — обеспечивает поддержку прикладных процессов пользователей. Порядок реализации связей в сети регулируется протоколами. Протокол — это набор коммутационных правил и процедур по формированию и передаче данных в сети.

Базовые принципы организации компьютерной сети определяют ее основные характеристики:

· операционные возможности — перечень основных действий по обработке данных. Абоненты сети имеют возможность использовать память и процессоры многих компьютеров для хранения и обработки данных. Предоставляемая компьютерной сетью возможность параллельной обработки данных многими компьютерами и дублирования необходимых ресурсов позволяет сократить время решения задач, повысить надежность системы и достоверность результатов;

· производительность — представляет собой суммарную производительность компьютеров, участвующих в решении задачи пользователя;

· время доставки сообщений — определяется как статистическое среднее время от момента передачи сообщения в сеть до момента получения сообщения адресатом;

· стоимость предоставляемых услуг.

 

 

 

1.2 Требования к обеспечению защищенности информационных ресурсов в организованной компьютерной сети .

"ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ - это состояние защищенности информации среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств" (Закон РФ "Об участии в международном информационном обмене").

Примечательная особенность нынешнего периода - переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергические ресурсы. Ресурсами, как известно, называют элементы экономического потенциала, которыми располагает общество и которое при необходимости могут быть использованы для достижения конкретной цели хозяйственной деятельности ,общественной деятельности, государственной и т.д . Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы , и их назначение понятно каждому. Но вот появилось понятие "информационные ресурсы", и хотя оно узаконено, но осознано пока еще недостаточно. Информационные ресурсы - отдельные документы и отдельные массивы, документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Информационные ресурсы являются собственностью, находятся в ведении соответствующих органов и организаций, подлежат учету и защите, так как информацию можно использовать не только для товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или, что еще хуже, уничтожить. Собственная информация для производителя представляет значительную ценность, так как нередко получение (создание) такой информации - весьма трудоемкий и дорогостоящий процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми доходами. Система защиты информации — это комплекс организационных и технических мер, направленных на обеспечение информационной безопасности предприятия. Главным объектом защиты являются данные, которые обрабатываются в автоматизированной системе управления (АСУ) и задействованы при выполнении бизнес-процессов.

Основные угрозы для информационной безопасности любой компании связаны с кражей данных (например, промышленный шпионаж), использованием непроверенного программного обеспечения (например, содержащего вирусы), хакерскими атаками, получением спама (также может содержать вирусы), халатностью сотрудников. Реже утрата данных вызвана такими причинами, как сбой в работе аппаратно-программного обеспечения или кража оборудования. В результате компании несут значительные потери.

· формирование политики предприятия в области информационной безопасности;

· выбор и внедрение технических и программных средств защиты;

· разработка и проведение ряда организационных мероприятий.

При этом следует учитывать государственные нормативные документы и стандарты, которые регулируют вопросы информационной безопасности на предприятиях медицинского учреждения.

Политика предприятия в области информационной безопасности.

Фундаментом для создания системы защиты информации является документ, в котором формулируются принципы и основные положения политики предприятия в области информационной безопасности.

1. Разработка правового обеспечения защиты информации. Фактически это система нормативно-правовых документов, актуальных для деятельности предприятия. С ее помощью, с одной стороны, определяются правила обеспечения информационной безопасности на предприятии (например, обязанности сотрудников), а с другой — устанавливается ответственность за их нарушение. В состав правового обеспечения включаются государственные законы и акты (например, закон о государственной тайне), внутренние нормативные и организационные документы предприятия (устав, правила внутреннего распорядка, инструкции для сотрудников о сохранении коммерческой или иной тайны и т.д.).

2. Определение потенциальных угроз безопасности информации. Их можно разделить на три группы — это угрозы, возникающие:

· вследствие действий человека — это могут быть как случайные ошибки специалистов предприятия при работе с информационной системой (неправильный ввод данных или их удаление), так и предумышленные действия (кража документов или носителей информации);

· вследствие некорректной работы или отказа технических или программных средств (например, сбой в работе операционной системы, вызванный вирусом);

· из-за стихийных бедствий, природных катаклизмов, форс-мажорных обстоятельств (наводнения, пожары, смерчи, военные действия и т.д.).

Список потенциальных угроз для информационной безопасности предприятия может быть очень велик. Рекомендуется оценить каждую из них с позиции здравого смысла или данных статистики, а затем проранжировать по степени вероятности возникновения и объема потенциального ущерба.

3. Составление перечня данных, подлежащих защите. Информация, которая используется на предприятии, может быть открытой (доступна для всех) или закрытой (доступна для ограниченного круга лиц). К первому типу относятся сведения, которые не составляют государственной или коммерческой тайны, не относятся к категории конфиденциальной информации (согласно законодательству или внутренним документам предприятия). Ущерб от потери подобного рода сведений не является значительным, поэтому их защита не приоритетна.

Ко второму типу относятся:

· данные, являющиеся государственной тайной — их перечень определяется законодательством;

· коммерческие или служебные сведения — любая информация, связанная с производством, финансами, использующимися технологиями, утечка или утрата которой может нанести ущерб интересам предприятия;

· персональные данные сотрудников.

Эта информация должна быть защищена в первую очередь. Для каждого типа такого рода данных указывается, как и где они возникают, с помощью каких программных или технических средств ведется их обработка, какие подразделения (сотрудники) с ними работают и т.д.

4. Создание подразделения, ответственного за вопросы защиты информации. Как правило, на российских предприятиях существует разделение функций, связанных с обеспечением информационной безопасности. Это подразумевает, что за разработку политики защиты данных, выполнение организационных мер отвечает служба безопасности компании, а вопросы, связанные с применением любых программных и аппаратных средств, включаются в компетенцию ИТ-подразделения. Нередко возникают ситуации, когда стремление как можно надежнее защитить данные вступает в противоречие с потребностями бизнеса предприятия. В том числе это происходит, если меры безопасности разрабатываются без учета возможностей современных ИТ-средств.

Например, на одном из предприятий служба безопасности запретила сотрудникам иметь доступ к рабочему адресу электронной почты из внешней среды, мотивируя свое решение необходимостью избежать утечек информации. В результате стали возникать задержки при выполнении бизнес-процессов: сотрудники не могли оперативно принимать необходимые управленческие решения, если они находились не в офисе предприятия. Участие в разработке подобной меры сотрудников ИТ-подразделения позволило бы избежать этой проблемы: доступ к рабочей почте был бы сохранен, а защита данных обеспечивалась бы за счет применения дополнительных программных средств.

Поэтому более правильным подходом является создание единой точки принятия решений, а именно создание подразделения, задачей которого будет решение всего спектра вопросов по защите информации на предприятии. В его состав необходимо включить как сотрудников службы безопасности, так и ИТ-специалистов.

5. Определение основных направлений обеспечения информационной безопасности. В рамках решения этой задачи, в частности, обозначаются компоненты АСУ, которые нуждаются в защите, определяются необходимые программные и технические средства, формулируются организационные меры, направленные на защиту информации.

Автоматизированная система управления (сокращённо АСУ) — комплекс аппаратных и программных средств, а также персонала, предназначенный для управления различными процессами в рамках технологического процесса, производства, предприятия. АСУ применяются в различных отраслях промышленности, энергетике, транспорте и т. п.

 

Концепция информационной безопасности:

1. Основные концептуальные положения системы защиты информации

2. Концептуальная модель информационной безопасности

3. Угрозы конфиденциальной информации

4. Действия, приводящие к неправомерному овладению конфиденциальной информацией

 

В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале - полностью, реально - значительно или хотя бы частично. Но и это удается далеко не всегда.

 

С учетом этого угрозы могут быть классифицированы по следующим кластерам :

 

· по величине принесенного ущерба:

· предельный, после которого фирма может стать банкротом;

· значительный, но не приводящий к банкротству;

· незначительный, который фирма за какое-то время может компенсировать и др.;

· по вероятности возникновения:

· весьма вероятная угроза;

· вероятная угроза;

· маловероятная угроза;

· по причинам появления:

· преднамеренные действия;

· по характеру нанесенного ущерба:

· материальный;

· моральный;

· по характеру воздействия:

· активные;

· пассивные;

· по отношению к объекту:

· внутренние;

· внешние.

 

Источниками внешних угроз являются:

 

· недобросовестные конкуренты;

· преступные группировки и формирования;

· отдельные лица и организации административно-управленческого аппарата.

Источниками внутренних угроз могут быть:

· администрация предприятия;

· персонал;

· технические средства обеспечения производственной и трудовой деятельности.

 

Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:

 

· 82% угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии;

· 17% угроз совершается извне - внешние угрозы;

· 1% угроз совершается случайными лицами.

 

Угроза - это потенциальные или реальные действия, приводящие к моральному или материальному ущербу.