Содержание 

 

       Введение

      Проблемы  защиты информации в автоматизированных системах (АС) не теряют своей актуальности вот уже почти 50 лет. Это объясняется тем, что накапливаемая, хранимая и обрабатываемая в АС информация является достаточно уязвимой как с точки зрения опасности ее искажения или уничтожения (нарушения физической целостности), так и с точки зрения несанкционированного доступа к ней лиц, не имеющих на это полномочий.

      Если  первую опасность можно было предположить с самого начала развития технологии автоматизированной обработки информации, то вторая возникла не так давно  и явилась в значительной степени  неожиданностью для специалистов и пользователей АС.

      Развитие  методов защиты информации в АС от нарушения ее физической и логической целостности, а также от несанкционированного доступа происходило параллельно  с развитием самих электронных  средств обработки данных, что обусловливалось их тесной взаимосвязью. Совершенствуясь и развиваясь от сравнительно простых вычислительных устройств 50-х годов до современных суперЭВМ и компьютерных сетей, вычислительные машины в принципе сохранили те же основные элементы: блоки памяти, процессоры, устройства ввода и вывода. Аналогично формировались и основные подходы к разработке методов и способов защиты данных и программ, которые в настоящее время предполагают использование специально создаваемых аппаратных и программных средств, а также определенных организационных процедур обработки. Однако это ен исключает возможности коренного изменения в будущем самого подхода  к разработке новых изначально защищенных информационных технологий, попытки создания которых подготавливаются бурным процессом информатизации общества.

      Целю  данной контрольной работы является:

      - рассмотреть основные вопросы  информационной безопасности предприятия  на примере ООО «МТЦ»;

      - построить информационную защиту  данного предприятия.

      1. Сведения о предприятии

      В качестве объекта исследования было выбрано  Общество с ограниченной ответственностью «Межотраслевой технический центр» (ООО «МТЦ»).

      Юридический адрес предприятия: г.Москва, Барабанный пер., д.9

      Миссией предприятия является продажа и обслуживание кассового оборудования.

      Предметом деятельности ООО «МТЦ» является выполнение работ по информационно-вычислительному обслуживанию предприятий в сфере торговли, и взаимодействию с налоговыми органами.

      К основным видам деятельности ООО «МТЦ» можно отнести:

      - продажу кассового и торгового оборудования;

      - обслуживание кассового и торгового оборудования;

      - замены электронной контрольной ленты защищенной;

      На  данный момент в рассматриваемой организации работает 150 человек.

      ООО «МТЦ» состоит из:

            - отделов – экономико-договорного отдела, отдела сопровождения, юридического отдела, отдела ремонта и отдела автоматизации и программирования;

      - бухгалтерии;

      -отдела продаж.

      Организационная структура предприятия представлена на схеме (см. рис. 1.1). 
 
 
 
 
 
 

      

      

      

        
 

      

        
 
 

      Рис. 1.1. Организационная структура  ООО «МТЦ 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

      2. Анализ угроз безопасности

      2.1. Ресурсы подверженные воздействию угроз

      ООО «МТЦ» имеет единый информационно-вычислительный комплекс основной задачей которого является регистрация торговых организаций и обращений их в компанию МТЦ.

      В связи с этим были выделены следующие  ресурсы: 

       

      Наиболее  важными для обеспечения деятельности организации являются информационные ресурсы – БД «Контрагенты» и «Задачи»

      Не  менее значимыми являются:

      - аппаратные ресурсы – серверы БД «Контрагенты», серверы БД «Задачи», аппаратное обеспечение ЛВС;

      - ПО – ОС Windows Server 2008, СУБД SQL Server 20050, СУБД dBase (основной расчет), программное обеспечение ЛВС, утилиты для работы с базами данных.

      2.2. Выявление угроз

      Угрозы  безопасности информации – события или действий, которые могу вызвать нарушение функционирования автоматизированной системы, связанное с уничтожением или несанкционированным использованием обрабатываемой в ней информации.

      2.2.1. Классификация источников угроз

      Носителями  угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации - внутренние источники, так и вне ее - внешние источники. Деление источников на субъективные и объективные оправдано исходя из рассуждений по поводу вины или риска ущерба информации. А деление на внутренние и внешние источники оправдано потому, что для одной и той же угрозы методы парирования для внешних и внутренних источников могу быть разными.

        Все источники угроз безопасности информации можно разделить на три основные группы:

1. Обусловленные действиями субъекта (антропогенные источники угроз).
2. Обусловленные техническими средствами (техногенные источники угрозы).
3. Обусловленные стихийными источниками.

      Антропогенные источники угроз

      Антропогенными  источниками угроз безопасности информации выступают субъекты, действия которых могут быть квалифицированы  как умышленные или случайные  преступления.

      В качестве антропогенного источника  угроз можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к работе со штатными средствами защищаемого объекта. Субъекты (источники), действия которых могут привести к нарушению безопасности информации могут быть как внешние [I.A.], так и внутренние [I.B.].

      Внешние источники могут быть случайными или преднамеренными и иметь  разный уровень квалификации. К ним  относятся:

• [I.A.1] криминальные структуры;
• [I.A.2] потенциальные преступники и хакеры;
• [I.A.3] недобросовестные партнеры;
• [I.A.4] технический персонал поставщиков телематических услуг;
• [I.A.5] представители надзорных организаций и аварийных служб;
• [I.A.6] представители силовых структур.

      Внутренние  субъекты (источники), как правило, представляют собой высококвалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомы со спецификой решаемых задач, структурой и основными функциями и принципами работы программно-аппаратных средств защиты информации, имеют возможность использования штатного оборудования и технических средств сети. К ним относятся:

• [I.B.1] основной персонал (пользователи, программисты, разработчики);
• [I.B.2] представители службы защиты информации;
• [I.B.3] вспомогательный персонал (уборщики, охрана);
• [I.B.4] технический персонал (жизнеобеспечение, эксплуатация).

      Необходимо  учитывать также, что особую группу внутренних антропогенных источников составляют лица с нарушенной психикой и специально внедренные и завербованные  агенты, которые могут быть из числа  основного, вспомогательного и технического персонала, а также представителей службы защиты информации. 

      Техногенные источники угроз

      Вторая  группа содержит источники угроз, определяемые технократической деятельностью человека и развитием цивилизации. Эти источники угроз менее прогнозируемые, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс источников угроз безопасности информации особенно актуален в современных условиях, так как в сложившихся условиях эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования, а также отсутствием материальных средств на его обновление.

      Технические средства, являющиеся источниками потенциальных  угроз безопасности информации так же могут быть внешними [II.A.]:

• [II.A.1] средства связи;
• [II.A.2] сети инженерных коммуникации (водоснабжения, канализации);
• [II.A.3] транспорт.

      и внутренними [II.B.]:

• [II.B.1] некачественные технические средства обработки информации;
• [II.B.2] некачественные программные средства обработки информации;
• [II.B.3] вспомогательные средства (охраны, сигнализации, телефонии);
• [II.B.4] другие технические средства, применяемые в учреждении;

      Стихийные источники угроз

      Третья  группа источников угроз объединяет, обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. К непреодолимой силе в законодательстве и договорной практике относят стихийные бедствия или иные обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить при современном уровне человеческого знания и возможностей. Такие источники угроз совершенно не поддаются прогнозированию и поэтому меры защиты от них должны применяться всегда. Стихийные источники потенциальных угроз информационной безопасности как правило являются внешними по отношению к защищаемому объекту и под ними понимаются прежде всего природные катаклизмы [III.A.]:

• [III.A.1] пожары;
• [III.A.2] землетрясения;
• [III.A.3] наводнения;
• [III.A.4] ураганы;
• [III.A.5] различные непредвиденные обстоятельства;
• [III.A.6] необъяснимые явления;
• [III.A.7] другие форс-мажорные обстоятельства.

      2.2.2. Ранжирование источников угроз

      При выборе метода ранжирования источников угроз использовалась методология, изложенная в международных стандартах (Стандарт ISO:17799-00), а также практический опыт российских экспертов в области информационной безопасности.

      Все источники угроз имеют разную степень опасности (К_оп)_i, которую можно количественно оценить, проведя их ранжирование. При этом, оценка степени опасности проводится по косвенным показателям. В качестве критериев сравнения (показателей) можно, к примеру, выбрать: