КУРСОВОЙ ПРОЕКТ
на тему: «Совершенствование системы информационной безопасности на предприятии ООО «УК «Ашатли»»
Тема разработки политики информационной безопасности на предприятиях, фирмах и организациях актуальна в современном мире. Информационная безопасность (на уровне предприятий и организаций) – это защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести недопустимый ущерб субъектам информационных отношений.
На предприятии действует современная локальная вычислительная сеть и установлено необходимое программное обеспечение, а также существует выход в Internet. При существовании такого количества информационных ресурсов, необходимо и наличие политики информационной безопасности. На данном предприятии необходимо совершенствовать политику информационной безопасности для минимизации угроз информационной безопасности, что и является целью для данного курсового проекта. Угроза информационной безопасности – это реальное или потенциальное действие, направленное на нарушения информационной безопасности, приводящие к материальному и моральному ущербу.
1. Анализ информационной безопасности ООО «УК «Ашатли»
1.1 Общие сведения об организации
Агрохолдинг «Ашатли» – это динамично развивающаяся, вертикально и горизонтально интегрированная группа компаний сельскохозяйственного направления, участник проекта «Покупай Пермское!».
Агрохолдинг «Ашатли» создан в 2007 году и на сегодняшний день имеет следующие направления деятельности: молочное животноводство, молочная переработка, растениеводство, выращивание овощей, салатов и зелени в закрытом грунте, цветоводство на гидропонике, а также земельное направление и мясной ритейл.
Одним из преимуществ, как динамично развивающегося холдинга, является гибкий подход к специфике работы и пожеланиям клиентов. Специалисты фирмы в состоянии выполнять работы практически любого объема и сложности. Разносторонний опыт работы и профессионализм сотрудников позволяет гарантировать выполнение любых задач в договорной срок.
Местонахождение ООО «Управляющая компания «Ашатли»
614010, Россия, Пермский край, г. Пермь, Комсомольский проспект, 70а
1.2 Характеристика информационных ресурсов предприятия
Согласно ФЗ «Об информации, информационных технологиях и о защите информации», к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.
В ООО «УК «Ашатли» общедоступная информация представлена на сайте компании или может быть предоставлена менеджерами кампании. К такой информации относится:
· сведения, содержащиеся в уставе организации.
· Финансовая отчетность;
· Состав руководства и т.д.;
· Информация о наградах и тендерах кампании;
· Информация о вакансиях и сведения о численности и составе работников, об условиях их труда, о системе оплаты труда;
· Контактные данные менеджеров кампании;
В организации также имеются сведения, на использование и распространение которых введены ограничения их собственником, т.е. организацией. Такая информация называется защищаемой. К ней можно отнести сведения, касающиеся личной жизни работников организации.
Следующий тип информации – это информация, представляющая коммерческую тайну. Согласно ФЗ «Об информации, информационных технологиях и о защите информации», информация, составляющая коммерческую тайну (секрет производства), – сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании, в отношении которых обладателем таких сведений введен режим коммерческой тайны (п. 2 в ред. Федерального закона от 18.12.2006 №231-ФЗ)
К коммерческой тайне в ООО «УК «Ашатли» относится следующая информация:
· Информация о личности работников, домашних адресов.
· Информация о клиентах, их контактные и личные данные.
· Информация о проектах, сроках и условиях договоров.
К информационным ресурсам фирмы относится документы и акты на бумажных носителях, локальная вычислительная сеть.
1.3 Угрозы информационной безопасности, характерные для данного предприятия
Под угрозой информационной безопасности понимается потенциальная возможность нарушения основных качеств или свойств информации – доступности, целостности и конфиденциальности. Основным типом угрозы информационной безопасности для данной фирмы можно считать несанкционированный доступ к информации, относящейся к коммерческой тайне.
По способам воздействия на объекты информационной безопасности угрозы, актуальные для общества, подлежат следующей классификации: информационные, программные, физические, организационно-правовые.
К информационным угрозам относятся:
· несанкционированный доступ к информационным ресурсам;
· хищение информации из архивов и баз данных;
· противозаконный сбор и использование информации;
К программным угрозам относятся:
· компьютерные вирусы и вредоносные программы;
К физическим угрозам относятся:
· уничтожение или разрушение средств обработки информации и связи;
· хищение носителей информации;
· воздействие на персонал;
К организационно-правовым угрозам относятся:
· закупки несовершенных или устаревших информационных технологий и средств информатизации;
Предприятие ООО «УК «Ашатли» может быть подвержено таким информационным угрозам, таким как
· Взлому баз данных или несанкционированное использование коммерческой информации в целях передачи данных конкурентам предприятия, что может отрицательно сказаться на деятельности предприятия и в крайнем случае привести к его разорению, ликвидации.
· Разглашение сотрудниками конфиденциальной информации, использование ее в корыстных целях для получения прибыли, т. к. многие служащие имеют доступ к базе данных 1С Управление торговлей.
· Сотрудники предприятия могут умышленно или случайно повлиять на распространение информации, например по электронной почте, ICQ и по другим цифровым средствам связи, что негативно может сказаться на репутации предприятия, поскольку они имеют доступ к сведениям организации.
· Одной из самых распространенных угроз информационной безопасности являются сбои и отказы программного обеспечения, технических средств фирмы, поскольку оборудование зачастую даже самое новое дает сбои, также предприятию могут поставить технически некачественное оборудование.
· На ООО «УК «Ашатли» может возникнуть ситуация несанкционированного физического доступа к техническим средствам, являющимися источникам информации, также кража носителя с важной информацией (флешка, внешний жеский диск и т.д.) или только данных. По сути, это хищение интеллектуальной собственности через сеть или физическое хищение носителей.
· Одной из немало важных информационных угроз являются ошибки персонала организации. Упущения в работе менеджеров, недобросовестное выполнение своих обязанностей консультантами может привести к нарушению целостности информации, а также могут возникнуть конфликтные ситуации с клиентами.
· К угрозам программного обеспечения можно отнести различное вредоносное ПО, потеря паролей, незащищенность используемого ПО, а также отсутствие системы резервного копирования.
1.4 Меры, методы и средства защиты информации, применяемые на предприятии
Законодательный уровень защиты представляет собой совокупность законодательных актов в области информации и информационных технологий. К этому уровню относятся: Конституция РФ, Гражданский кодекс РФ, Уголовный кодекс РФ, ФЗ «Об информации, информационных технологиях и защите информации» и др.
Административный уровень защиты информации отражается в программе ИБ. Основой программы является политика ИБ – изданный документ (свод документов), который принимается руководством организации и направлен на защиту информационных ресурсов данной организации. В данной организации политика информационной безопасности не разработана и этот уровень защиты информации не представлен.
К используемым мерам процедурного уровня по защите информации в ООО «УК «Ашатли» можно отнести то, что проход в здании осуществляется только по предварительной договоренности, а так же в здании установлена сигнализация. Так же заключён договор на охрану помещений с вневедомственной охраной.
Рассмотрим средства защиты информации, применяемые на предприятии. Всего их существует четыре (аппаратные, программные, смешанные, организационные).
· Аппаратные средства защиты – замки, решетки на окнах, защитная сигнализация, сетевые фильтры, камеры видеонаблюдения.
· Программные средства защиты: используются средства операционной системы, такие как защита, паролем, учетные записи.
· Организационные средства защиты: подготовка помещений с компьютерами.
· На программно-аппаратном уровне по защите информации применяются следующие меры:
o Использование антивирусной программы на всех компьютерах (ESET NOD32 Business EditionАнтивирус NOD 32)
o Использование встроенных средств Windows для авторизации пользователя компьютера.