Характеристика информационной системы предприятия

Введение

 

Термин «информационная безопасность» не так давно вошёл в широкое употребление, хотя деятельность современного предприятия невозможно представить себе без персональных компьютеров. Этому есть простое объяснение: объём обрабатываемой и хранящейся в электронном виде информации для среднего предприятия в миллионы раз выше по сравнению с «бумажной». На компьютерах устанавливается сложное в настройке программное обеспечение, создаются трудные для восстановления схемы взаимодействия компьютеров и программ, рядовые пользователи обрабатывают огромные массивы данных. Понятно, что любое нарушение работы выстроенной технологической цепочки приведёт к определённым потерям для предприятия. Таким образом, под информационной безопасностью (ИБ) будем понимать защищенность информационной среды предприятия от внешних и внутренних угроз её формированию, использованию и развитию.

На крупных предприятиях существуют специальные службы с немалым бюджетом, в задачи которых входит обеспечение ИБ, выявление, локализация и устранение угроз ИБ предприятия. Они используют специальное дорогостоящее программное и аппаратное обеспечение, подчас настолько сложное в обслуживании, что требуется особая подготовка персонала для работы с ним. Задачи руководства ИБ в таких организациях часто сводятся к выпуску инструкций с ключевыми словами: «углубить», «расширить», «повысить», «обеспечить» и т.д. Вся работа по обеспечению ИБ выполняется незаметно для руководства сотрудниками соответствующих служб, и описание методов их работы - это тема для отдельной большой статьи.

В то же время ИБ малых предприятий с не очень большим числом рабочих мест для специалистов (часто не более 50) уделяется не слишком много внимания. Однако существующая организационно-техническая обстановка на данный момент такова, что большинство существующих угроз ИБ, в силу хорошей защищённости от них больших предприятий, становятся актуальными как раз для предприятий меньшего размера. Обычно такие предприятия имеют весьма скромный IT-бюджет, позволяющий приобрести только необходимое оборудование, ПО и содержать одного системного администратора.

 

Описание предприятия

 

Частное ателье «Vilden» предоставляет клиентам следующие услуги:

·   Пошив мужской, женской, детской одежды

·   Реставрация одежды любой сложности

·   Пошив сценической одежды

·   Консультация по ремонту одежды

·   Профессиональная чистка одежды

Данное предприятие не имеет филиалов, поэтому нем существует нераспределенная система, также многопользовательский режим обработки информации, 1 компьютер, 3 пользователя и нет выхода в интернет. Также предприятие имеет следующие уровни конфиденциальности: коммерческая тайна, персональные данные и информация для служебного пользования.

В ателье работают следующие сотрудники:

.   Директор

.   Главный бухгалтер

.   Специалист

 

Задачи

 

Для достижения поставленной передо мной цели мне необходимо решить следующие задачи:

·   Определить цели и задачи защиты информации в ателье

·   Выбрать модель политики безопасности для данной организации

·   Составить матрицу доступа

·   Определить группу требований к АС

·   Определить класс защищенности АС и требования к нему

·   Определить основные объекты защиты на предприятии

·   Определить предмет защиты на предприятии

·   Выявить возможные угрозы защищаемой информации в ателье и их структуру

·   Выявить источники, виды и способы дестабилизирующего воздействия на защищаемую информацию на предприятии

·   Выявить каналы и методы несанкционированного доступа к защищаемой информации на предприятии

·   Определить основные направления, методы и средства защиты информации на предприятии

 

Методы защиты информации

 

Основными методами, используемыми в защите информации являются следующие:

·   реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;

·   разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

·   резервирование технических средств, дублирование массивов и носителей информации;

·   использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

·   организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;

·   предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

Принципы учета засекреченной информации:

─  обязательность регистрации всех носителей защищаемой информации;

─  однократность регистрации конкретного носителя такой информации;

─  указание в учетах адреса, где находится в данное время данный носитель засекреченной информации;

─  единоличная ответственность за сохранность каждого носителя защищаемой информации и отражение в учетах пользователя данной информации в настоящее время, а также всех предыдущих пользователей данной информации.

 

Средства защиты информации

Средства защиты информации - это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.

В качестве основания классификации средств защиты информации используются основные группы задач, решаемые с помощью технических средств:

1.создание физических (механических) препятствий на путях проникновения злоумышленника к носителям информации (решетки, сейфы, замки и т.д.);

2.выявление попыток проникновения на объект охраны, к местам сосредоточения носителей защищаемой информации (электронные и электронно-оптические сигнализаторы);

3.предупреждение о возникновении чрезвычайных ситуаций (пожар, наводнение и т.п.) и ликвидация ЧП (средства пожаротушения и т.д.);

4.поддержание связи с различными подразделениями, помещениями и другими точками объекта охраны;

5.нейтрализация, поглощение или отражение излучения эксплуатируемых или испытываемых изделий (экраны, защитные фильтры, разделительные устройства в сетях электроснабжения и т.п.);

6.комплексная проверка технического средства обработки информации и выделенного помещения на соответствие требованиям безопасности обрабатываемой речевой информации установленным нормам;

7.комплексная защита информации в автоматизированных системах обработки данных с помощью фильтров, электронных замков и ключей в целях предотвращения несанкционированного доступа, копирования или искажения информации.

Знание возможностей методов и средств защиты информации позволяет активно и комплексно применять их при рассмотрении и использовании правовых, организационных и инженерно-технических мер защиты конфиденциальной информации.

защита информация ателье доступ

Матрица доступа

Основой дискреционной политики безопасности является избирательное управление доступом, которое подразумевает, что:

■ все субъекты и объекты системы должны быть идентифицированы; - права доступа субъекта к объекту системы определяются на основании некоторого правила (свойство избирательности).

Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы доступа (МД), иногда ее называют матрицей контроля доступа. Матрица доступа представляет собой прямоугольную матрицу, в которой объекту системы соответствует строка, а субъекту столбец. На пересечении столбца и строки матрицы указывается тип разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту, как "доступ на чтение", "доступ на запись", "доступ на исполнение" и др.

Множество объектов и типов доступа к ним субъекта может изменяться в соответствии с некоторыми правилами, существующими в данной системе. Определение и изменение этих правил также является задачей МД.

Начальное состояние системы определяется матрицей доступа, все действия регламентированы и зафиксированы в данной матрице.

R - чтение из объекта;

W - запись в объект;

CR - создание объекта;

D - удаление объекта;

“+” - определяет права доступа для данного субъекта;

“-” - не определяет права доступа для данного субъекта.

Состояние системы считается безопасным, если в соответствии с политикой безопасности субъектам разрешены только определённые типы доступа к объектам (в том числе отсутствие доступа)

Объектами защиты на предприятии являются:

О1- Технические средства приема, передачи и обработки информации;

О2-Коммерческая тайна

O3-Персональные данные клиентов;

O4-Персональные данные работников;

О5-Документированная информация;

О6-Личные дела работников, клиентов;

О7-Электронные базы данных работников и клиентов;

О8-Бумажные носители и электронные варианты приказов, постановлений планов, договоров, отчетов, составляющих коммерческую тайну;

О9-Средства защиты информации (Антивирусные программы, система сигнализации, система противопожарной охраны и др.);

О10-Личные дела бывших клиентов.

Субъектами доступа к ресурсам предприятия являются:

S1-Директор;

S2-Главный бухгалтер;

S3-Специалист

 

Табл.2. Матрица доступа

	О1	О2	О3	О4	О5	О6	О7	О8	О9	О10
S1	R	R,W	R	R,W,CR,D+	R,W	R,W,CR,D+	R,W,CR,D	R,W	R,CR,W	R
S2	R,W	R	-	R	R+	R	-	R	R	-
S3	R	R	R,W	-	-	R	R,W,CR,D	R	R	R,W

Классификация ИСПД

Персональный данные

В целях дифференцированного подхода к обеспечению безопасности ПДн в зависимости от объема обрабатываемых ПДн и угроз безопасности жизненно важным интересам личности, общества и государства оператором ИСПДн проводится классификация ИСПДн в соответствии с «Порядком проведения классификации информационных систем персональных данных», утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008г. № 55/86/20. Порядок определяет проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы). При проведении классификации информационной системы учитываются следующие исходные данные:

·         категория обрабатываемых в информационной системе персональных данных - X пд:

 

Табл.3. Категории персональных данных, обрабатываемых в ИС

категория 1	персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни
категория 2	персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1
категория 3	персональные данные, позволяющие идентифицировать субъекта персональных данных
категория 4	обезличенные и (или) общедоступные персональные данные

 

·         объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) - X нпд:

·         1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;

·         2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

·         3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

·         заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе:

·         Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

·         Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

·         структура информационной системы:

·         автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);

·         комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);

·         комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

·         наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена (имеющие подключения / не имеющие подключений);

·         режим обработки персональных данных (однопользовательские / многопользовательские);

·         режим разграничения прав доступа пользователей информационной системы (без разграничения прав доступа / с разграничением прав доступа);

·         местонахождение технических средств информационной системы (в пределах Российской Федерации / за пределами Российской Федерации).

 

Табл.4. Классы ИСПДн

Класс 1 (К1)	ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных
Класс 2 (К2)	ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных
Класс 3 (К3)	ИСПДн, для. которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных
Класс 4 (К4)	ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных

 

Класс информационной системы определяется в соответствии с таблицей 4.

 

Табл.5. Определение класса ИС

Х пд \ Х нпд	3	2	1
категория 4	К4	К4	К4
категория 3	К3	К3	К2
категория 2	К3	К2	К1
категория 1	К1	К1	К1

 

Соответственно, категория персональных данных - 2, объем обрабатываемых данных - от 1000 до 10 000 субъектов, и класс ИС - К3, т.е. ИСПДн, для. которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.

Исходя из приказа ФСТЭК РФ от 05.02.2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных», и особенностей предприятия можно сделать следующий вывод:

Для информационных систем 3 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:

а) управление доступом:

идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов;

б) регистрация и учет:

регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа;

учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме);

в) обеспечение целостности:

обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;

г) физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации;

д) периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;

е) наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности.

Требования по защите информации от НСД

 

Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа.

В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:

·   управления доступом;

·   регистрации и учета;

·   криптографической;

·   обеспечения целостности.

Рассмотрим формализованные требования к защите компьютерной информации АС.

Существует 3 группы АС с включающими в себя требованиями по защите этих систем. Но, учитывая структуру нашего предприятия, мы будем рассматривать первую группу АС (в соответствии с используемой в классификацией), как включающую в себя наиболее распространенные многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности. Причем не все пользователи имеют право доступа ко всей информации АС.

Требования к АС первой группы.

Обозначения:

" - " - нет требований к данному классу; " + " - есть требования к данному классу.

 

Табл.6. Требования к АС

Подсистемы и требования	Классы
	1Д	1Г	1В	1Б	1А
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему	+	+	+	+	+
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ	-	-	+	-	+
к программам	-	+	+	+	+
к томам, каталогам, файлам, записям, полям записей	-	+	+	+	+
1.2. Управление потоками информации	-	-	+	+	+
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) систему (узел сети)	+	+	+	+	+
выдачи печатных (графических) выходных документов	-	+	+	+	+
запуска (завершения) программ и процессов (заданий, задач)	-	+	+	+	+
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи	-	+	+	+	+
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей	-	+	+	+	+
изменения полномочий субъектов доступа	-	-	+	+	+
создаваемых защищаемых объектов доступа	-	-	+	+	+
2.2. Учет носителей информации	+	+	+	+	+
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей	-	+	+	+	+
2.4. Сигнализация попыток нарушения защиты	-	-	+	+	+
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации	+	-	-	+	+
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах	-	-	-	-	+
3.3. Использование аттестованных (сертифицированных) криптографических средств	-	-	-	+	+
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации	+	+	+	+	+
4.2. Физическая охрана средств вычислительной техники и носителей информации	+	+	+	+	+
4.3. Наличие администратора (службы) защиты информации в АС	-	-	+	+	+
4.4. Периодическое тестирование СЗИ НСД	+	+	+	+	+
4.5. Наличие средств восстановления СЗИ НСД	+	+	+	+	+

 

Учитывая структуру нашей организации, имеет смысл остановиться лишь на одном классе - 1Г, так как 1Г это класс, задающий необходимые требования для обработки персональной информации, хранящейся в клиентской базе. В данном случае этот класс является наиболее подходящим для специфики нашего предприятия.

 

Требования к классу защищенности 1Г

 

Подсистема управления доступом

§ должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов;

§ должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам;

§ должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

§ должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

Подсистема регистрации и учета

§ должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются:

§ дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

§ результат попытки входа: успешная или неуспешная - несанкционированная;

§ идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;

§ код или пароль, предъявленный при неуспешной попытке;

§ должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. В параметрах регистрации указываются:

§ дата и время выдачи (обращения к подсистеме вывода);

§ спецификация устройства выдачи [логическое имя (номер) внешнего устройства];

§ краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;

§ идентификатор субъекта доступа, запросившего документ;

§ должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются:

§ дата и время запуска;

§ имя (идентификатор) программы (процесса, задания);

§ идентификатор субъекта доступа, запросившего программу (процесс, задание);

§ результат запуска (успешный, неуспешный - несанкционированный);

§ должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются:

§ дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная - несанкционированная;

§ идентификатор субъекта доступа;

§ спецификация защищаемого файла;

§ должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываются:

§ дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная - несанкционированная;

§ идентификатор субъекта доступа;

§ спецификация защищаемого объекта [логическое имя (номер)];

§ должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);

§ учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема);

§ должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).

Подсистема обеспечения целостности

§ должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды. При этом:

§ целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;

§ целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;

§ должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;

§ должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки НСД;

§ должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.

Заключение

 

Подводя итоги, можно отметить, что в данной работе передо мной была поставлена цель создания политики безопасности, а также были определены основные направления, методы и средства защиты информации на выбранном мною предприятии. А также разработаны рекомендации и действия для организации эффективной защиты конфиденциальной информации на моем предприятии.

В ходе работы были определены информационные ресурсы, имеющиеся на предприятии, их ценность с точки зрения конфиденциальности, дана классификация информационной системы, разработана политика безопасности на основе дискреционной модели Харрисона-Руззо-Ульмана, а также составлена матрица доступа в соответствии с выбранной моделью управления контроля доступа и политикой безопасности применяемой на предприятии.

 

Список использованной литературы

1. Беляев, Е.А. Исторические аспекты защиты информации в России/ Е.А.Беляев// Информационная безопасность.- М., 2004.- № 3.-С.58-59.

2. Домов, С. Информационная безопасность/ С.Домов// Вестн. Волжского ун-та.- Сер.Информат, 2005.- № 8.- С.53-55

.   Кальченко, Д. Безопасность в цифровую эпоху/ Д.Кальченко// Компьютер Пресс, 2005.- №4.- С.34, 36,38-41.

.   Астахова, Л.В. Теория информационной безопасности и методология защиты информации: Конспект лекций/ Л.В.Астахова.- Челябинск: Изд-во «ЗАО Челябинская межрайонная типография», 2006.- 361 с.

.   Иванов, А.В. Экономическая безопасность предприятий/ А.В.Иванов.- М.: Вираж-центр, 2000.- 39 с.

.   Соловьев, Э. Коммерческая тайна и её защита/ Э.Соловьев.- М.: Главбух, 1995.- 48 с.

.   Ярочкин, В.И. Коммерческая информация фирмы: утечка или разглашение конфиденциальной информации/ В.И.Ярочкин.- М.: Ось-89, 1997.- 160 с.

.   Астахов, А. Разработка эффективных политик информационной безопасности/ А.Астахов [Электронный ресурс]// Директор ИС #01/2004.- (http://www.osp.ru/cio/2004/01/rub/1072641.html).

.   Комплексные системы защиты информации [Электронный ресурс]// AM-SOFT. Деятельность компании. Защита информации.- (http://am-soft.ua/site/page4044.html).

.   Садердинов А.А., Трайнев В.А., Федулов А.А. Информационная безопасность предприятия: Учебное пособие.-2-е изд. - М., Издательско-торговая компания «Дашков и К», 2005.-336с.

Введение

 

Термин «информационная безопасность» не так давно вошёл в широкое употребление, хотя деятельность современного предприятия невозможно представить себе без персональных компьютеров. Этому есть простое объяснение: объём обрабатываемой и хранящейся в электронном виде информации для среднего предприятия в миллионы раз выше по сравнению с «бумажной». На компьютерах устанавливается сложное в настройке программное обеспечение, создаются трудные для восстановления схемы взаимодействия компьютеров и программ, рядовые пользователи обрабатывают огромные массивы данных. Понятно, что любое нарушение работы выстроенной технологической цепочки приведёт к определённым потерям для предприятия. Таким образом, под информационной безопасностью (ИБ) будем понимать защищенность информационной среды предприятия от внешних и внутренних угроз её формированию, использованию и развитию.

На крупных предприятиях существуют специальные службы с немалым бюджетом, в задачи которых входит обеспечение ИБ, выявление, локализация и устранение угроз ИБ предприятия. Они используют специальное дорогостоящее программное и аппаратное обеспечение, подчас настолько сложное в обслуживании, что требуется особая подготовка персонала для работы с ним. Задачи руководства ИБ в таких организациях часто сводятся к выпуску инструкций с ключевыми словами: «углубить», «расширить», «повысить», «обеспечить» и т.д. Вся работа по обеспечению ИБ выполняется незаметно для руководства сотрудниками соответствующих служб, и описание методов их работы - это тема для отдельной большой статьи.

В то же время ИБ малых предприятий с не очень большим числом рабочих мест для специалистов (часто не более 50) уделяется не слишком много внимания. Однако существующая организационно-техническая обстановка на данный момент такова, что большинство существующих угроз ИБ, в силу хорошей защищённости от них больших предприятий, становятся актуальными как раз для предприятий меньшего размера. Обычно такие предприятия имеют весьма скромный IT-бюджет, позволяющий приобрести только необходимое оборудование, ПО и содержать одного системного администратора.

 

Описание предприятия

 

Частное ателье «Vilden» предоставляет клиентам следующие услуги:

·   Пошив мужской, женской, детской одежды

·   Реставрация одежды любой сложности

·   Пошив сценической одежды

·   Консультация по ремонту одежды

·   Профессиональная чистка одежды

Данное предприятие не имеет филиалов, поэтому нем существует нераспределенная система, также многопользовательский режим обработки информации, 1 компьютер, 3 пользователя и нет выхода в интернет. Также предприятие имеет следующие уровни конфиденциальности: коммерческая тайна, персональные данные и информация для служебного пользования.

В ателье работают следующие сотрудники:

.   Директор

.   Главный бухгалтер

.   Специалист

 

Характеристика информационной системы предприятия

 

Ателье использует следующее программное обеспечение:

·   пакет Microsoft Office;

·   1С:Предприятие:ателье

·   Корпоративная система «Парус»

Для всех трех сотрудников ателье существует один компьютером с многопользовательским режимом, в таблице 1 можно просмотреть функции, которые выполняет каждый сотрудник на своем персональном компьютере.

 

Табл.1. Функции сотрудников, имеющих доступ к персональным компьютерам

Специалист	Назначение
Директор	анализ работы предприятия, планирования деятельности и т.д.
Главный бухгалтер	расчет заработной платы, учет выполненных услуг, ведения склада, расчет с поставщиками, учет денежных операций с клиентами, учета денежных расходов ателье
Специалист	Прием заказов, регистрация клиентов, ведение БД, проведение денежных операций