На бирже курсовых и дипломных проектов можно найти готовые бесплатные и платные работы или заказать написание уникальных курсовых работ, дипломов, лабораторных работ, контрольных работ, диссертаций, рефератов по самым низким ценам. Добавив заявку на написание требуемой для вас работы, вы узнаете реальную стоимость ее выполнения.

ЛИЧНЫЙ КАБИНЕТ 

 

Здравствуйте гость!

 

Логин:

Пароль:

 

Запомнить

 

 

Забыли пароль? Регистрация

Быстрая помощь студентам

 

Результат поиска


Наименование:


контрольная работа Организационные меры по обеспечению безопасности на предприятии

Информация:

Тип работы: контрольная работа. Добавлен: 24.06.2012. Сдан: 2011. Страниц: 11. Уникальность по antiplagiat.ru: < 30%

Описание (план):


Министерство  образования Российской Федерации
 «Российский  государственный профессионально-педагогический  университет»
Кафедра сетевых информационных систем 
 
 
 
 
 
 
 

Контрольная РАБОТА
по дисциплине
«ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ»
Тема: Организационные  меры по обеспечению безопасности на предприятии 

Вариант № 5 
 
 
 
 
 
 
 

Дата  сдачи работы: «___»______20__г.
Работу принял:
_______/_________
(подпись) (расшифровка)
Работу выполнил: Лихоман Н.З. студент группы КП-512ИЭ
Работу проверил:
_______/_________
(подпись)(расшифровка)
 
 
 
 
 
 
 
 
 
 
 
 
Екатеринбург 2011 

     СОДЕРЖАНИЕ

 
Задание 1 3
ВВЕДЕНИЕ 3
ПРОБЛЕМЫ БЕЗОПАСНОСТИ ЛОКАЛЬНЫХ ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ (ЛВС) И ИНТЕГРИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ УПРАВЛЕНИЯ ПРЕДПРИЯТИЕМ (ИИСУП) 9
ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ КОМПЛЕКСНОЙ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 11
ОСНОВНЫЕ ЗАДАЧИ, РЕШАЕМЫЕ СИСТЕМОЙ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ 13
ЗАКЛЮЧЕНИЕ 19
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ 21
Задание 2 22
Анализ деятельности предприятия 22 
 

 

     

     Задание 1

     ВВЕДЕНИЕ

     В настоящее время информационная безопасность является одной из важнейших  проблем современного общества.
     В начале 80-х гг. XX века защита информации могла быть эффективно обеспечена при  помощи специально разработанных организационных  мер и программно - аппаратах средств  шифрования. С изобретением локальных  и глобальных сетей, каналов спутниковой  связи вопрос об информационной безопасности встал наиболее остро.
     Информационная  безопасность предприятия — это  защищенность информации, которой располагает предприятие (производит, передает или получает) от несанкционированного доступа, разрушения, модификации, раскрытия и задержек при поступлении. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода.
     Целью комплексной информационной безопасности является сохранение информационной системы предприятия в целости и сохранности, защита и гарантирование полноты и точности выдаваемой ею информации, минимизация разрушений и модификация информации, если таковые случаются.
     Компьютеризация, развитие телекоммуникаций предоставляют  сегодня широкие возможности  для автоматизированного доступа  к различным конфиденциальным, персональным и другим важным, критическим данным в обществе (его граждан, организаций и т. д.). Естественно, люди осознают появление такого ряда новых рисков и начинают беспокоиться об обеспечении необходимой безопасности подобной информации. Так, фирмы, долгое время специализировавшиеся на охране людей и объектов, начали выделять в качестве отдельного направления своей деятельности «компьютерную» безопасность, а в структуру практически всех компаний, занимающихся системной интеграцией, были введены специальные подразделения, разрабатывающие собственные комплексные меры по информационной безопасности.
     Проблема  создания и поддержания защищенной среды информационного обмена, реализующая определенные правила и политику безопасности современной организации, является весьма актуальной. Информация давно уже перестала играть эфемерную, чисто вспомогательную роль, превратившись в весьма важный и весомый, чуть ли не материальный, фактор со своими стоимостными характеристиками, определяемыми той реальной прибылью, которую можно получить от ее (информации) использования. В то же время, вполне возможен сегодня и вариант ущерба, наносимого владельцу информации (предприятию) путем несанкционированного проникновения в информационную структуру и воздействия на ее компоненты. Из этого очевидно, насколько актуален в наши дни вопрос с защитой информационных систем предприятий.
 

     
     ОСНОВНЫЕ  ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ  ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ 
     Основными принципами информационной безопасности являются:
    обеспечение целостности и сохранности данных, т.е. надежное их хранение в неискаженном виде;
    соблюдение конфиденциальности информации (ее недоступность для тех пользователей, которые не имеют соответствующих прав);
    доступность информации для всех авторизованных пользователей при условии контроля за всеми процессами использования ими получаемой информации;
    беспрепятственный доступ к информации в любой момент, когда она может понадобиться предприятию.
     Эти принципы невозможно реализовать без  особой интегрированной системы  информационной безопасности, выполняющей  следующие функции:
    выработку политики информационной безопасности;
    анализ рисков (т.е. ситуаций, в которых может быть нарушена нормальная работа информационной системы, а также утрачены или рассекречены данные);
    планирование мер по обеспечению информационной безопасности;
    планирование действий в чрезвычайных ситуациях;
    выбор технических средств обеспечения информационной безопасности.
     Политика  информационной безопасности определяет:
    какую информацию и от кого (чего) следует защищать;
    кому и какая информация требуется для выполнения служебных обязанностей;
    какая степень защиты необходима для каждого вида информации;
    чем грозит потеря того или иного вида информации;
    как организовать работу по защите информации.
     Обычно  руководители организации решают, какой  риск должен быть исключен, а на какой можно пойти, они же затем определяют объем и порядок финансирования работ по обеспечению выбранного уровня информационной безопасности.
     Идентификация угроз означает уяснение наступления из-за этого возможных негативных воздействий и последствий. Реализация угрозы может привести к раскрытию, модификации, разрушению информации или отказу в информационном обслуживании. Среди долговременных последствий реализации угрозы могут быть такие, как потеря бизнеса, нарушение какой-либо важной тайны, гражданских прав, адекватности данных, гибель человека и т.п. К последним следует относить: неавторизованный доступ к локальным вычислительным сетям (ЛВС), несоответствующий доступ к ресурсам ЛВС, неавторизованную модификацию данных и программ, раскрытие данных, раскрытие трафика ЛВС, подмену трафика ЛВС и, наконец, неработоспособность ЛВС.
     Политика в отношении безопасности должна быть такой, чтобы как можно реже требовалась ее модификация. В этой связи, может быть, более разумно просто принять положение о том, что программное обеспечение обнаружения вирусов должно находиться на персональном компьютере (ПК) ЛВС, серверах и т. д., а администраторы ЛВС должны каждый раз сами определять конкретный используемый информационный продукт.
     Все дело в том, что стандарты и  рекомендации статичны, по крайне мере, в двух аспектах. Во-первых, они не учитывают обычно постоянной перестройки защищаемых систем и их окружения. Во-вторых, они содержат лишь критические рекомендации по формированию режима безопасности.
     Другими словами, стандарты и рекомендации являются лишь отправной точкой в длинной и сложной цепочке действий по защите информационных систем организаций. Обеспечение безопасности - это комплексная проблема, для решения которой требуется сочетание законодательных, организационных и программно-технических мер. К сожалению, законодательная база сегодня отстает от потребностей практики, а имеющиеся законы и указы носят в основном теоретический характер. Одновременно следует учитывать, что в нашей стране сегодня чаще используется зарубежное аппаратно-программное обеспечение. В условиях жестких ограничений на импорт подобной продукции и отсутствия межгосударственных соглашений о взаимном признании сертификатов, потребители, желающие оставаться законопослушными, оказываются по существу в безвыходном положении, так как у них подчас нет возможности заказать (и получить) современную систему по информационной безопасности «под ключ» и с сертификатом безопасности.
     Следующий уровень этой проблемы после законодательного - управленческий. Руководство каждой организации должно само определиться с необходимым ему режимом безопасности и выделить для его обеспечения ресурсы нередко значительные. Главное, надо выработать политику безопасности, которая задаст общее направление работ в данной области. Важный момент при выработке политики безопасности - анализ угроз и выбор адекватных мер противодействия.
     Для поддержания режима информационной безопасности особое значение имеют также программно-технические меры, поскольку основная угроза компьютерным системам исходит прежде всего от самих этих систем (сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т. п.).
     В качестве средств защиты данных от попыток несанкционированного доступа  к ним как с внешней стороны, так и изнутри, предлагаются современные программно-технические средства. В комплексы защиты могут входить различные по составу и функциональному назначению системы и средства, применяемые, во-первых, в соответствии с идеологией, заложенной в основу построения тех или иных систем управления, и, во-вторых, с учетом принятого уровня информационной безопасности, учитывающего возможные дестабилизирующие факторы.
     Одним из нужных шагов в решении проблемы безопасности интегрированных систем организационного типа следует считать необходимость создания органа, который бы мог заниматься сертификацией средств и методов защиты информации при работе именно с такими системами.
 

     

     ПРОБЛЕМЫ  БЕЗОПАСНОСТИ ЛОКАЛЬНЫХ  ВЫЧИСЛИТЕЛЬНЫХ СЕТЕЙ (ЛВС) И ИНТЕГРИРОВАННЫХ  ИНФОРМАЦИОННЫХ СИСТЕМ УПРАВЛЕНИЯ ПРЕДПРИЯТИЕМ (ИИСУП)

     Для обеспечения безопасности локальных  вычислительных сетей (ЛВС) и ИИСУП  необходимы:
      разработка адекватной политики управления и безопасности ЛВС и ИИСУП в целом;
      обучение персонала предприятия особенностям использования ЛВС и ее защиты;
      использование адекватных механизмов защиты для рабочих станций;
      применение адекватной защиты в ходе передачи информации.
     Политика  безопасности должна определять роль, каждого служащего в деле ЛВС реализации адекватной защищенности и передаваемой в ней информации.
     Управление  ЛВС и ИИСУП должно иметь необходимые  для нормальной работы финансовые средства, время и ресурсы. Слабое управление сетью может приводить к ошибкам защиты. В результате этого могут появиться такие проблемы, как ослабленная конфигурация защиты, небрежное выполнение мер по защите или даже неиспользование необходимых механизмов защиты информации. Использование ПК в среде ЛВС и ИИСУП также сопровождается своими рисками. В ПК практически отсутствуют меры защиты в отношении аутентификации пользователей, управления доступом к файлам, ревизии деятельности пользователей и т. д. В большинстве случаев защита информации, хранимой и обрабатываемой на сервере ЛВС прекращается в тот момент, когда она посылается на ПК.
     «Малограмотность» пользователей в отношении безопасности ЛВС и ИИСУП также увеличивает риски. Ведь люди, не знакомые с механизмами защиты, мерами защиты и т. п. вполне могут использовать их неправильно и, уж конечно, не безопасно. Ответственность за внедрение механизмов и мер защиты, а также за следование правилам использования ПК в среде ЛВС и ИИСУП обычно ложится на пользователей ПК. Поэтому им должны быть даны соответствующие инструкции и рекомендации для поддержания приемлемого уровня защиты в среде ЛВС и ИИСУП.
 

     

     ТРЕБОВАНИЯ  ПО ОБЕСПЕЧЕНИЮ КОМПЛЕКСНОЙ  СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

     ТРЕБОВАНИЯ  ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОРПОРАТИВНОЙ  ИНФОРМАЦИОННОЙ СИСТЕМЫ  ПРЕДПРИЯТИЯ
     Как правило, они включают в себя:
      Организационные меры защиты, сводящиеся к регламентации;
    допуска к использованию информационных ресурсов;
    процессов проведения технологических операций с информационными ресурсами КИС;
    процессов эксплуатации, обслуживания и модификации аппаратных и программных ресурсов.
      Технические меры и методы защиты, заключающиеся в применении средств;
    идентификации и аутентификации;
    разграничения доступа;
    обеспечения и контроля целостности;
    антивирусной защиты;
    межсетевого экранирования;
    контроля электронной почты;
    контроля и регистрации событий безопасности;
    криптографической защиты;
    виртуальных частных сетей (VPN);
    централизованного управления системой информационной безопасности.
     ТРЕБОВАНИЯ  К ПРОГРАММНО-АППАРАТНЫМ СРЕДСТВАМ
     Программно-аппаратные средства ИС предприятия должны:
    обеспечивать возможность комплексного решения вопросов защиты информации, в том числе возможность удаленного администрирования;
    иметь встроенные средства криптографической защиты информации и поддерживать технологию электронной подписи;
    полноценно функционировать в распределенной корпоративной среде и иметь минимальное программное обеспечение на клиентских местах;
    учитывать требования действующих нормативных документов по защите информации АС, а также законодательство Российской Федерации, ГОСТы, нормативные, руководящие и другие документы уполномоченных государственных органов по вопросам информатизации, защиты информации и обеспечения информационной безопасности.
 
 

     

     ОСНОВНЫЕ  ЗАДАЧИ, РЕШАЕМЫЕ СИСТЕМОЙ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ

    Управление доступом пользователей к ресурсам автоматизированной системы с целью ее защиты от неправомерного, случайного или умышленного вмешательства в ее работу и несанкционированного (с превышением предоставленных полномочий) доступа к ее информационным, программным и аппаратным ресурсам со стороны посторонних лиц, а также персонала предприятия и пользователей.
    Защита данных, передаваемых по каналам связи.
    Регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отношение к ее безопасности.
    Контроль работы пользователей системы со стороны администрации и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы.
    Контроль и поддержание целостности критичных ресурсов системы защиты и среды исполнения прикладных программ.
    Обеспечение замкнутой среды проверенного программного обеспечения с целью защиты от бесконтрольного внедрения в систему потенциально опасных программ (в которых могут содержаться вредоносные закладки или опасные ошибки) и средств преодоления системы защиты, а также от внедрения и распространения компьютерных вирусов.
    Управление средствами системы защиты.
     Различают внешнюю и внутреннюю безопасность компьютерных систем. Внешняя безопасность включает защиту автоматизированных систем от стихийных бедствий и от проникновения в системы злоумышленников извне в целях хищения информации, получения доступа к ней или вывода системы из строя. Внутренняя безопасность компьютерных систем основана на создании надежных и удобных механизмов регламентации деятельности всех законных пользователей и обслуживающего персонала. Результатом этих усилий должно быть безусловное соблюдение установленных на предприятии правил доступа к ресурсам системы.
     По  способам осуществления все меры обеспечения безопасности компьютерных систем подразделяются на правовые (законодательные), морально-этические, организационные (административные), физические и технические (аппаратные и программные).
     Организационные (административные) меры защиты — это меры, регламентирующие процессы функционирования системы обработки данных, порядок использования ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей системы таким образом, чтобы максимально снизить возможность угроз безопасности. Они включают:
    мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных систем и других объектов обработки данных;
    мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности);
    мероприятия, осуществляемые при подборе и подготовке персонала, обслуживающего систему;
    организацию охраны и надежного пропускного режима;
    организацию учета, хранения, использования и уничтожения документов и носителей с информацией;
    распределение реквизитов разграничения доступа(паролей, ключей шифрования и т. п.);
    организацию явного и скрытого контроля за работой пользователей;
    мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т. п.
     Физические меры защиты основаны на применении разного рода электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.
     Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав автоматизированных систем и выполняющих функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое преобразование информации и т. д.).
     Персональный  компьютер (уровень  пользователя)
     Компьютер, не включенный в локальную сеть и имеющий конфиденциальную информацию, подвержен большому количеству различных угроз.
     Угрозы:
    НСД к компьютеру со стороны сотрудников и других лиц;
    потеря информации в результате заражения компьютерными вирусами;
    НСД к информации через наводки кабелей ЛВС или электромагнитное излучение средств вычислительной техники;
    НСД к информации на съ?мных носителях информации (включая распечатки на бумажных носителях);
    НСД к информации, размещенной на отказавших узлах;
    ПК, отправляемых в ремонт;
    кража компьютера с конфиденциальной информацией.
     Пути  защиты информации:
    аутентификация пользователя, т. е. проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности;
    ограничение доступа сотрудников в помещения, в которых имеются компьютеры с конфиденциальной информацией - использование систем управления доступом;
    защита от несанкционированной загрузки операционной системы - использование программно-аппаратных комплексов, предназначенных для защиты от несанкционированного доступа к ресурсам персонального компьютера, разграничение прав зарегистрированных пользователей по доступу к ресурсам ПК, автоматизированного контроля и протоколирования событий по доступу к компьютеру;
    ограничение доступа сотрудников к внутренним ресурсам локального компьютера и к ресурсам Internet -использование специального комплекса защиты;
    использование средств защиты от вирусов;
    проведение специальных исследовательских работ и выполнение всех рекомендаций организации, проводившей данные работы.
     Угрозы  безопасности информации в локальной сети и пути ее защиты
     Большинство современных автоматизированных систем (локальные сети) состоят из следующих основных структурно-функциональных элементов:
    рабочих станций - отдельных ЭВМ или удаленных терминалов сети, на которых реализуются автоматизированные рабочие места пользователей;
    серверов или host-машин (служб файлов, печати, баз данных и т. п.);
    межсетевых мостов (шлюзов, центров коммутации пакетов, коммуникационных ЭВМ);
    каналов связи (локальных, телефонных, с узлами коммутации и т. д.).
     Рабочие станции являются наиболее доступными компонентами сетей, и именно с них  могут быть предприняты попытки  совершения несанкционированных действий. С рабочих станций осуществляется управление процессами обработки информации, запуск программ, ввод и корректировка данных, на дисках рабочих станций могут размещаться важные данные и программы обработки. На видеомониторы и печатающие устройства рабочих станций выводится рабочая информация пользователей, выполняющих различные функции и имеющих различные полномочия по доступу к данным и другим ресурсам системы.
     Именно  поэтому рабочие станции должны быть надежно защищены от доступа  посторонних лиц, и содержать  средства разграничения доступа  к ресурсам со стороны законных пользователей, имеющих разные полномочия. Пути защиты рабочих станций от НСД - организация централизованного назначения пользовательских полномочий по доступу к ресурсам рабочих станций и постоянный автоматизированный контроль их действий: использование специальных комплексов защиты и администрирования.
     В особой защите нуждаются такие привлекательные  для злоумышленников элементы сетей, как серверы (host-машины) и мосты. Первые как концентраторы больших объемов информации (баз данных), вторые — в качестве элементов, осуществляющих преобразование данных при согласовании протоколов обмена в различных участках сети. Решения по защите перечислены ниже:
    Ограничение доступа сотрудников в помещение, в котором имеются компьютеры с конфиденциальной информацией - использование систем управления доступом.
    Использование сетевых средств защиты - разграничение сетевых ресурсов для пользователей с помощью средств сетевой операционной системы.
     При организации корпоративной информационной сети с использованием Internet возможности несанкционированного доступа к информации достигают обычно наивысшего уровня. Угрозы:
    организация внешних атак на корпоративную сеть;
    внутренние угрозы информационным ресурсам корпоративной сети;
    НСД к информации на серверах сети со стороны рабочих станций;
    НСД к ресурсам рабочей станции со стороны сотрудников и других лиц;
    НСД к информации через наводки кабелей ЛВС;
    НДС к информации через электромагнитное излучение средств вычислительной техники;
    НСД к информации на съ?мных носителях информации (включая распечатки на бумажных носителях);
     Способы защиты информации
     При работе в сети Internet помогает прежде всего «межсетевой экран», позволяющий  не только защититься от несанкционированных действий со стороны внешних сетей, но и организовать надежную защиту выделенного сервера или группы серверов внутри собственной сети или разделить целесообразным образом сегменты внутренней сети.
     Для крупной корпоративной сети для  отражения атак, из другой сети важное значение имеет надежная защита с  помощью дополнительных программ по обнаружению и отражению нападений, выявлению злонамеренных приложений и вирусов. Подобные продукты значительно дополняют возможности вышеназванных межсетевых.
 

     

     ЗАКЛЮЧЕНИЕ

     Использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем для руководства организацией. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Поэтому люди беспокоятся о безопасности информации и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным. Все увеличивается число компьютерных преступлений, что может привести в конечном счете к подрыву экономики. И поэтому должно быть ясно, что информация - это ресурс, который надо защищать.
     Ответственность за защиту информации лежит на низшем звене руководства. Но также кто-то должен осуществлять общее руководство этой деятельностью, поэтому в организации должно иметься лицо в верхнем звене руководства, отвечающее за поддержание работоспособности информационных систем.
и т.д.................


Перейти к полному тексту работы


Скачать работу с онлайн повышением уникальности до 90% по antiplagiat.ru, etxt.ru или advego.ru


Смотреть полный текст работы бесплатно


Смотреть похожие работы


* Примечание. Уникальность работы указана на дату публикации, текущее значение может отличаться от указанного.